Spring 注解面面通 之 @CrossOrigin 注解应用详解

最新推荐文章于 2024-06-25 00:15:09 发布
最新推荐文章于 2024-06-25 00:15:09 发布
阅读量5.9k 收藏 15
点赞数 6
分类专栏: Spring 全面解析 文章标签: Spring CORS CrossOrigin 注解 应用
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/securitit/article/details/113251401
版权

  跨源资源共享(CORS),是由大多数浏览器实现的W3C规范,允许对跨域请求进行灵活授权,用来代替IFRAMEJSONP等非正规实现方式。

  @CrossOrigin是用来处理跨源资源共享(CORS)的注解。

  注解解析

  ① value

    指定允许请求源列表,例如:value="http://example.com"

    *表示允许来自任意请求源的请求。

    其值存储在响应标头Access-Control-Allow-Origin中。

    默认情况下,其值为*,允许来自任意请求源的请求。

    注意:CORS处理时,从ForwardedX-Forwarded-HostX-Forwarded-PortX-Forwarded-Proto取请求源值。

  ② origins

    valueorigins含义相同,可以任选valueorigins进行设置。

    valueorigins若同时存在,两者的值需一致,否则启动时会出现异常。

Caused by: org.springframework.core.annotation.AnnotationConfigurationException: In annotation [org.springframework.web.bind.annotation.CrossOrigin] declared on public java.lang.String com.arhorchin.securitit.webannotations.CrossOriginController.crossOriginOrigins(java.util.Map) throws java.lang.Exception and synthesized from [@org.springframework.web.bind.annotation.CrossOrigin(maxAge=-1, methods=[], exposedHeaders=[], origins=[http://localhost:9299], allowedHeaders=[], value=[http://localhost:92991], allowCredentials=)], attribute 'origins' and its alias 'value' are present with values of [{http://localhost:9299}] and [{http://localhost:92991}], but only one is permitted.

  ③ allowedHeaders

    指定允许实际请求标头列表,例如:allowedHeaders="Content-Type,Access-Token"

    *表示允许实际请求带有任意标头。

    其值存储在响应标头Access-Control-Allow-Headers中。

    若为Cache-ControlContent-LanguageExpiresLast-ModifiedPragma,则无需设置。

    默认情况下,其值为*,允许实际请求带有任意标头。

  ④ exposedHeaders

    指定允许客户端(如浏览器)访问的响应标头列表,例如:exposedHeaders="Content-Length"

    其值存储在实际CORS请求的响应头Access-Control-Expose-Headers中。

    默认情况下,只允许客户端访问:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma

​  ⑤ methods

    指定允许请求的HTTP方法。

    默认情况下,允许请求的HTTP方法与@RequestMapping相同。

  ⑥ allowCredentials

    指定其值,表示客户端(如浏览器)是否应将凭证(如Cookies)和跨域请求一起发送到服务器。

    其值存储在预处理响应标头Access-Control-Allow-Credentials中。

    注意:此选项与配置域建立了高级别的信任,由于公开敏感的信息(如CookiesCSRF令牌),会增加Web应用程序受攻击的概率。

    默认情况下,此值不设置,因此不允许使用任何凭证。

  ⑦ maxAge

    指定预处理响应的最大缓存期限,单位为秒。

    其值存储在预处理响应标头Access-Control-Max-Age中。

    其值设置合理可以有效减少客户端与服务器预处理请求的交互次数。

    其值为负,表示未定义。

    默认情况下,其值为1800秒(30分钟)。

  ⑧ DEFAULT_ORIGINSDEFAULT_ALLOWED_HEADERSDEFAULT_ALLOW_CREDENTIALSDEFAULT_MAX_AGE

    这些属性用于设置默认值,在Spring 5.0+版本中已废弃,由CorsConfiguration.applyPermitDefaultValues()方法来完成其功能。

  注解示例

  1)Controller,用来演示@CrossOrigin的使用方法。

package com.arhorchin.securitit.webannotations;

import java.util.Map;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;

/**
 * @author Securitit.
 * @note 演示@CrossOrigin注解使用方法.
 */
@Controller
@RequestMapping("/WebAnnotations")
public class CrossOriginController {

    /**
     * logger.
     */
    private Logger logger = LoggerFactory.getLogger(CrossOriginController.class);

    /**
     * 未使用@CrossOrigin.
     */
    @ResponseBody
    @RequestMapping(
            value = "/UnCrossOrigin.do",
            method = RequestMethod.GET)
    public String unCrossOrigin(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {
        logger.info("@CrossOrigin use default value.");
        return "@CrossOrigin use default value.";
    }
    
    /**
     * 使用默认值的@CrossOrigin.
     */
    @ResponseBody
    @RequestMapping(
            value = "/CrossOrigin.do",
            method = RequestMethod.GET)
    @CrossOrigin
    public String crossOrigin(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {
        logger.info("@CrossOrigin use default value.");
        return "@CrossOrigin use default value.";
    }
    
    /**
     * 指定origins属性的@CrossOrigin.
     */
    @ResponseBody
    @RequestMapping(
            value = "/CrossOriginOrigins.do",
            method = RequestMethod.GET)
    @CrossOrigin(origins="http://localhost:9299")
    public String crossOriginOrigins(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {
        logger.info("@CrossOrigin with origins.");
        return "@CrossOrigin with origins.";
    }
    
    /**
     * 指定origins、allowedHeaders、exposedHeaders、allowCredentials属性的@CrossOrigin.
     */
    @ResponseBody
    @RequestMapping(
            value = "/CrossOriginOriginsAllowCredentials.do",
            method = RequestMethod.GET)
    @CrossOrigin(origins="http://localhost:9299", allowCredentials="true")
    public String crossOriginAllowedHeadersExposedHeadersAllowCredentials(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {
        logger.info("@CrossOrigin with origins、allowedHeaders、exposedHeaders、allowCredentials.");
        return "@CrossOrigin with origins、allowedHeaders、exposedHeaders、allowCredentials.";
    }

}

  2) 启动服务,使用端口9199

  3) 使用《Spring 注解面面通 之 Http测试工具》中的工具页面,启动服务,使用端口9299

  ① 访问http://localhost:9199/spring-annotations/WebAnnotations/UnCrossOrigin.do

在这里插入图片描述

  ② 访问http://localhost:9199/spring-annotations/WebAnnotations/CrossOrigin.do

在这里插入图片描述

  ③ 访问http://localhost:9199/spring-annotations/WebAnnotations/CrossOriginOrigins.do

在这里插入图片描述

  总结

  Spring简化了@CrossOrigin开过过程中的配置,使得跨域请求处理更加便捷。

  源码解析基于spring-framework-5.0.5.RELEASE版本源码。

  若文中存在错误和不足,欢迎指正!

securitit
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Spring 注解之@Import 注入的各种花活
08-25
Spring @Import 注解的多种使用场景 Spring 框架中的 @Import 注解是一个非常强大的工具,可以用来实现组件的自动装配和配置。下面我们将详细介绍 @Import 注解的多种使用场景,并通过示例代码来演示其使用方法。 ...
详解Spring注解--@Autowired、@Resource和@Service
08-30
Spring注解详解 -- @Autowired、@Resource和@Service Spring框架中有三个非常重要的注解,即@Autowired、@Resource和@Service。这三个注解都是Spring框架中最常用的注解,它们都是用于解决Spring框架中的依赖注入...
spring】@CrossOrigin注解学习
一个写了10年bug的程序员日常笔记。
05-17 1404
Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
Spring @CrossOrigin 注解原理实现
08-18
主要介绍了Spring @CrossOrigin 注解原理实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
@CrossOrigin 多系统跨域业务场景使用案例
最新发布
肖哥弹架构博客
06-25 654
注解允许开发者明确地指定哪些源可以访问他们的 API,从而提高了应用程序的安全性。它简化了 CORS 配置,使得开发者可以轻松地为特定的控制器或方法启用跨源请求。使用注解可以提高 API 的可用性,使其能够被多个前端应用安全地访问。
注解 @CrossOrigin
青苔小榭
08-17 4万+
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
注解@CrossOrigin详解
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
@CrossOriginSpring框架中的一个注解,用于处理跨域资源共享(Cross-Origin Resource Sharing, CORS)问题。
wangqiaowq的博客
04-30 538
Spring框架中的一个注解,用于处理跨域资源共享(Cross-Origin Resource Sharing, CORS)问题。在Web应用开发中,出于安全原因,浏览器实施了同源策略(Same-origin policy),这一策略限制了从一个源加载的Web页面脚本与来自不同源的资源交互。当你在一个控制器类或具体处理方法上使用此注解时,Spring会自动在HTTP响应头中添加适当的CORS相关头部信息,如。)发送AJAX请求,浏览器会阻止这个请求,除非服务器端明确允许此类跨域请求。
@CrossOrigin注解与跨域访问
weixin_30235225的博客
01-21 825
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理跨域请求的注解 先来说一下什么是跨域: (站在巨人的肩膀上) 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同,不明白没关系...
Spring注解@Resource和@Autowired区别对比详解
08-25
主要介绍了Spring注解@Resource和@Autowired区别对比详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解Spring缓存注解@Cacheable,@CachePut , @CacheEvict使用
08-30
Spring 缓存注解 @Cacheable、@CachePut、@CacheEvict 使用详解 Spring 框架提供了三个缓存注解:@Cacheable、@CachePut 和 @CacheEvict,这三个注解可以帮助开发者简化缓存的使用,提高应用程序的性能。在本文中,...
注解】 @CrossOrigin
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
04-07 2981
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? @CrossOrigin是用来处理跨域请求的注解 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。     
注解 @CrossOrigin(更容易理解 )
weixin_44704605的博客
10-21 1万+
先说明@CrossOrigin是用来处理跨域请求的注解,在Controller中添加此注解 跨域是什么: 跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,域名,协议,端口均相同 如: http://www.index.com:8080 http是协议名 4399.com是域名 8080是端口号 浏览器执行javascript脚本时,会检查这个脚本属于哪个页面,如果不是同源页面,就不会被执行。 当域名www.qwe.com
Spring 注解面面通 之 @CrossOrigin 注解应用详解
只为成功找方法 不为失败找借口
06-10 2605
默认情况下,只允许客户端访问:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。注意:CORS处理时,从Forwarded、X-Forwarded-Host、X-Forwarded-Port、X-Forwarded-Proto取请求源值。若为Cache-Control、Content-Language、Expires、Last-Modified、Pragma,则无需设置。
@CrossOrigin注解的使用指南
LSW1737554365的博客
11-03 2079
CrossOrigin注解Spring框架提供的一种注解,用于配置CORS策略。通过在控制器类或方法上添加@CrossOrigin注解,我们可以指定哪些来源可以访问该类或方法,从而实现对CORS的简化配置。@CrossOrigin注解支持多种配置选项,例如允许特定来源、允许所有来源、指定请求头和响应头等。
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9717
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
@CrossOrigin注解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
10-15 213
在Web应用程序中,如果JS代码试图从一个域名获取来自不同域名的资源,这将会触发浏览器的同源策略,从而导致浏览器阻止跨域请求。使用下面的注解可以允许浏览器绕过同源策略,从而允许跨域请求!该注解可以接解决跨域请求的问题@CrossOrigin。可以用在方法上或者类上。
Spring解决跨域问题(@CrossOrigin
张育嘉的博客
08-09 3516
一、关于跨域介绍 在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API...
SpringBoot解决CORS跨域(@CrossOrigin
热门推荐
浅然的专栏
07-21 11万+
一、关于跨域介绍 在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值