SpringBoot解决跨域问题

已于 2022-04-04 11:32:33 修改
阅读量751 收藏 1
点赞数 1
分类专栏: TCP/IP Spring 安全 文章标签: spring
于 2022-04-04 11:20:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tianzhonghaoqing/article/details/123950729
版权
Spring 同时被 3 个专栏收录
87 篇文章 3 订阅
订阅专栏
TCP/IP
24 篇文章 0 订阅
订阅专栏
安全
12 篇文章 1 订阅
订阅专栏

概述

造成跨域的问题是客户端校验了源站域和目标域是否一致的问题。
同一个域是指:协议+ip(域名)+端口完全相同,其中任何一个不同在浏览器看来都是跨域。

何为跨域

Url的一般格式:
协议 + 域名(子域名 + 主域名) + 端口号 + 资源地址
示例:
https://www.dustyblog.cn:8080/say/Hello 是由https + www + dustyblog.cn + 8080 + say/Hello组成

只要协议,子域名,主域名,端口号这四项组成部分中有一项不同,就可以认为是不同的域,不同的域之间互相访问资源,就被称之为跨域。

客户端为什么校验跨域问题

一句话为了安全。

跨域会导致哪些危险

客户端如何校验跨域

比较head中的相关字段。

SpringBoot解决方案

Cors是什么

CORS全称为Cross Origin Resource Sharing(跨域资源共享), 每一个页面需要返回一个名为Access-Control-Allow-Origin的http头来允许外域的站点访问,你可以仅仅暴露有限的资源和有限的外域站点访问。
我们可以理解为:如果一个请求需要允许跨域访问,则需要在http头中设置Access-Control-Allow-Origin来决定需要允许哪些站点来访问。如假设需要允许https://www.dustyblog.c这个站点的请求跨域,则可以设置:
Access-Control-Allow-Origin:https://www.dustyblog.cn。

方案一:使用@CrossOrigin注解

在Controller上使用@CrossOrigin注解
该类下的所有接口都可以通过跨域访问

@RequestMapping("/demo2")
@RestController
//@CrossOrigin //所有域名均可访问该类下所有接口
@CrossOrigin("https://blog.csdn.net") // 只有指定域名可以访问该类下所有接口
public class CorsTest2Controller {

    @GetMapping("/sayHello")
    public String sayHello() {
        return "hello world --- 2";
    }
}

这里指定当前的CorsTest2Controller中所有的方法可以处理https://csdn.net域上的请求,这里可以测试一下:

  • 在https://blog.csdn.net页面打开调试窗口,输入(注意:这里请求地址是/demo2,请区别于1.2 案例中的/demo)
var token= "LtSFVqKxvpS1nPARxS2lpUs2Q2IpGstidMrS8zMhNV3rT7RKnhLN6d2FFirkVEzVIeexgEHgI/PtnynGqjZlyGkJa4+zYIXxtDMoK/N+AB6wtsskYXereH3AR8kWErwIRvx+UOFveH3dgmdw1347SYjbL/ilGKX5xkoZCbfb1f0=,LZkg22zbNsUoHAgAUapeBn541X5OHUK7rLVNHsHWDM/BA4DCIP1f/3Bnu4GAElQU6cds/0fg9Li5cSPHe8pyhr1Ii/TNcUYxqHMf9bHyD6ugwOFTfvlmtp6RDopVrpG24RSjJbWy2kUOOjjk5uv6FUTmbrSTVoBEzAXYKZMM2m4=,R4QeD2psvrTr8tkBTjnnfUBw+YR4di+GToGjWYeR7qZk9hldUVLlZUsEEPWjtBpz+UURVmplIn5WM9Ge29ft5aS4oKDdPlIH8kWNIs9Y3r9TgH3MnSUTGrgayaNniY9Ji5wNZiZ9cE2CFzlxoyuZxOcSVfOxUw70ty0ukLVM/78=";
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://127.0.0.1:8080/demo2/sayHello');
xhr.setRequestHeader("x-access-token",token);
xhr.send(null);
xhr.onload = function(e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}

返回结果

ƒ (e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}
VM156:8 hello world --- 2

说明跨域成功!

  • 换个域名测试一下看跨域是否还有效,在https://www.baidu.com按照上述方法测试一下,返回结果
OPTIONS http://127.0.0.1:8080/demo2/sayHello 403
(anonymous)
Access to XMLHttpRequest at 'http://127.0.0.1:8080/demo2/sayHello' 
from origin 'http://www.cnblogs.com' has been blocked by CORS policy: 
Response to preflight request doesn't pass access control check: 
No 'Access-Control-Allow-Origin' header is present on the requested resource.

说明跨域失败!证明该方案成功指定了部分域名能跨域!

方案二:CORS全局配置-实现WebMvcConfigurer

  • 新建跨域配置类:CorsConfig.java:
/**
 * 跨域配置
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Bean
    public WebMvcConfigurer corsConfigurer()
    {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").
                        allowedOrigins("https://www.dustyblog.cn"). //允许跨域的域名,可以用*表示允许任何域名使用
                        allowedMethods("*"). //允许任何方法(post、get等)
		                allowedHeaders("*"). //允许任何请求头
                        allowCredentials(true). //带上cookie信息
                        exposedHeaders(HttpHeaders.SET_COOKIE).maxAge(3600L); //maxAge(3600)表明在3600秒内,不需要再发送预检验请求,可以缓存该结果
            }
        };
    }
}
  • 测试,在允许访问的域名https://www.dustyblog.cn/控制台输入(注意,这里请求的是http://127.0.0.1:8080/demo3)
var token= "LtSFVqKxvpS1nPARxS2lpUs2Q2IpGstidMrS8zMhNV3rT7RKnhLN6d2FFirkVEzVIeexgEHgI/PtnynGqjZlyGkJa4+zYIXxtDMoK/N+AB6wtsskYXereH3AR8kWErwIRvx+UOFveH3dgmdw1347SYjbL/ilGKX5xkoZCbfb1f0=,LZkg22zbNsUoHAgAUapeBn541X5OHUK7rLVNHsHWDM/BA4DCIP1f/3Bnu4GAElQU6cds/0fg9Li5cSPHe8pyhr1Ii/TNcUYxqHMf9bHyD6ugwOFTfvlmtp6RDopVrpG24RSjJbWy2kUOOjjk5uv6FUTmbrSTVoBEzAXYKZMM2m4=,R4QeD2psvrTr8tkBTjnnfUBw+YR4di+GToGjWYeR7qZk9hldUVLlZUsEEPWjtBpz+UURVmplIn5WM9Ge29ft5aS4oKDdPlIH8kWNIs9Y3r9TgH3MnSUTGrgayaNniY9Ji5wNZiZ9cE2CFzlxoyuZxOcSVfOxUw70ty0ukLVM/78=";
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://127.0.0.1:8080/demo3/sayHello');
xhr.setRequestHeader("x-access-token",token);
xhr.send(null);
xhr.onload = function(e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}

输出结果

ƒ (e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}
VM433:8 hello world --- 3

说明跨域成功,换个网址如https://www.baidu.com测试依旧出现需要跨域的错误提示,证明该配置正确,该方案测试通过。

过滤器实现

通过实现Fiter接口在请求中添加一些Header来解决跨域的问题

@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

参考

Spring Boot 系列:处理跨域请求

融极
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot解决跨域问题的六种方式
m0_67390969的博客
08-02 614
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。添加下方名片,即可获取全套学习资料哦。错误原因2.4.0之后如果写。...
[心得]SpringBoot使用addCorsMappings配置跨域的坑
weixin_33958585的博客
01-25 8124
什么是跨域问题这里我就不说了,直接说我使用addCorsMappings方法配置跨域时遇到的问题。具体代码如下: public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigi...
解决跨域问题springboot配置
zc1213812138的博客
09-14 246
CORS(Cross-origin resource sharing) “跨域资源共享”
Spring Boot解决跨域的五种方式
最新发布
RHeng的博客
03-19 427
Web开发中,跨域资源共享(CORS)是一个常见的问题。
Sprong-Boot 集成Swagger 无法访问此网站、127.0.0.1拒绝了我们的连接请求
惯性力
07-23 1836
代码如下 new Docket(DocumentationType.SWAGGER_2) .enable(true) .host(documentHost) //documnetHost 没用 .select() .apis(RequestHandlerSelectors.withClassAnnotation(Api.class)) .build()
Spring Boot跨域问题
知世俗而不世俗
05-27 2399
跨域请求 当我们从本身站点请求不同域名或端口服务所提供的资源时,就会发起跨域请求。        例如,我们最常见的我们很多的css样式文件是会链接到某个公共CDN服务器上,而不是在本身的服务器上,这其实就是典型的一个跨域骑牛。但浏览器由于安全原因限制了在脚本(script)中发起的跨域HTTP请求。也就是说XMLHttpRequest和Fetc...
springboot后端解决跨域问题
08-26
今天小编就为大家分享一篇关于springboot后端解决跨域问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
springboot vue 跨域问题解决
08-26
主要介绍了springboot vue 跨域问题解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot跨域问题解决方案
08-25
主要介绍了springboot跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
解决springboot实现跨域session共享问题
01-25
解决springboot实现跨域session共享问题,防止sql注入。可以更有效的解决token问题,欢迎下载,有问题可以再评论下方留言,及时解答!!加群:687942640
SpringBoot 跨域问题解决方案
08-25
主要介绍了SpringBoot 跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java跨域的影响,Java 跨域问题
weixin_30456153的博客
03-10 339
前言在日常的前后端项目分离的项目开发中,通常会遇到资源请求跨域的问题。本文将介绍跨域出现的原因,以及在Springboot中的解决方式。什么是跨域跨域是指一个页面想获取另一个页面中的资源,如果这两个页面的协议、域名、子域名、端口不同,或者两个页面一个为IP地址另一个为域名地址,这种情况下所进行的访问行动都是跨域的。而出于安全性的考虑,浏览器通常会限制跨域访问,不允许跨域请求资源。CORS跨域资源共...
java后端解决跨域请求
qq_42923605的博客
12-01 340
方法一 生成一个CorsFilter 的配置类: import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguratio
Java 之 CORS跨域问题
enjoy.day
04-11 3357
CORS CORS,全称Cross-Origin Resource Sharing,是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。 后端处理跨域问题的几种方法 1.Java过滤器进行过滤 允许整个项目跨域访问,可设置过滤器 @WebFilter("/*") public class SimpleCORSF
Java前后端分离项目中跨域问题 讲解
letterljhx的博客
10-18 200
Java前后端分离项目中跨域问题 讲解
java前后端跨域问题解决方案
qq_24196031的博客
09-27 446
跨域问题的分析: 1.同源策略 协议相同, 域名相同, 端口相同 这三者有一点不同则为不同源。 2.同源策略限制 (1) Cookie、LocalStorage 和 IndexDB 无法读取。 (2) DOM 无法获得。 (3) AJAX 请求不能发送 3.解决方案 3.1 JSONP JSONP是服务器与客户端跨源通信的常用方法。最大特点就是简单适用,老...
java允许跨域有什么缺点_浅谈spring-boot 允许接口跨域并实现拦截(CORS)
weixin_42309773的博客
02-25 287
本文介绍了spring-boot 允许接口跨域并实现拦截(cors),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webcors跨域的配置(主要配置允许什么样的方法跨域)import org.springframewor...
java跨域问题
weixin_51109090的博客
08-09 254
跨域简介 跨域 也就是 非同源策略请求 那么同源策略请求有 ajax、fetch 如果 区分 是否跨域 需要 协议,域名,端口号一致就是同源,只有有一个不同就是跨域 1. 修改hosts文件 2. Jsonp 首先需要了解 script img link lframe 不存在跨域请求的限制 例如 cdn 第一步 在 客户端使用script标签 发送一个路径去访问服务端,这个路径后面写参数用?拼接 callback=func(),向服务器发请求,同时会把本地的一个函数传递给服务器,服务器接收到客户端的请求后
[后端] java如何解决跨域问题
eason's live
07-30 821
一.基于zuul网关解决跨域问题 1.跨域问题描述: 本人在基于Oauth2.0做鉴权/授权时,配合前端联调接口时,已经让前端请求时的请求头带上key:Authorization,但是前台报错为跨域问题,后台报错鉴权失败,于是跟踪错误,发现在网关处从header中一直拿不到这个 Authorization 这个属性的值(因为oauth 2的密码模式是需要请求头中带有token才能够完成鉴权),具体错误如下图所示: 上图中可以明显看到请求中是存在 Authorization 这个属性的,但是从后台图片看是并

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

融极

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值