SpringBoot 处理CORS跨域问题

最新推荐文章于 2023-02-05 22:06:34 发布
最新推荐文章于 2023-02-05 22:06:34 发布
阅读量549 收藏
点赞数 1
文章标签: spring boot javascript
原文链接:https://www.liaoxuefeng.com/wiki/1252599548343744/1282384360112162
版权

在开发REST应用时,很多时候,是通过页面的JavaScript和后端的REST API交互。

在JavaScript与REST交互的时候,有很多安全限制。默认情况下,浏览器按同源策略放行JavaScript调用API,即:

  • 如果A站在域名a.com页面的JavaScript调用A站自己的API时,没有问题;

  • 如果A站在域名a.com页面的JavaScript调用B站b.com的API时,将被浏览器拒绝访问,因为不满足同源策略。

同源要求域名要完全相同(a.comwww.a.com不同),协议要相同(httphttps不同),端口要相同 。

那么,在域名a.com页面的JavaScript要调用B站b.com的API时,还有没有办法?

办法是有的,那就是CORS,全称Cross-Origin Resource Sharing,是HTML5规范定义的如何跨域访问资源。如果A站的JavaScript访问B站API的时候,B站能够返回响应头Access-Control-Allow-Origin: http://a.com,那么,浏览器就允许A站的JavaScript访问B站的API。

注意到跨域访问能否成功,取决于B站是否愿意给A站返回一个正确的Access-Control-Allow-Origin响应头,所以决定权永远在提供API的服务方手中。

关于CORS的详细信息可以参考MDN文档,这里不再详述。

使用Spring的@RestController开发REST应用时,同样会面对跨域问题。如果我们允许指定的网站通过页面JavaScript访问这些REST API,就必须正确地设置CORS。

有好几种方法设置CORS,我们来一一介绍。

使用@CrossOrigin

第一种方法是使用@CrossOrigin注解,可以在@RestController的class级别或方法级别定义一个@CrossOrigin,例如:

@CrossOrigin(origins = "http://local.liaoxuefeng.com:8080")
@RestController
@RequestMapping("/api")
public class ApiController {
    ...
}

上述定义在ApiController处的@CrossOrigin指定了只允许来自local.liaoxuefeng.com跨域访问,允许多个域访问需要写成数组形式,例如origins = {"http://a.com", "https://www.b.com"})。如果要允许任何域访问,写成origins = "*"即可。

如果有多个REST Controller都需要使用CORS,那么,每个Controller都必须标注@CrossOrigin注解。

使用CorsRegistry

第二种方法是在WebMvcConfigurer中定义一个全局CORS配置,下面是一个示例:

@Bean
WebMvcConfigurer createWebMvcConfigurer() {
    return new WebMvcConfigurer() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/api/**")
                    .allowedOrigins("http://local.liaoxuefeng.com:8080")
                    .allowedMethods("GET", "POST")
                    .maxAge(3600);
            // 可以继续添加其他URL规则:
            // registry.addMapping("/rest/v2/**")...
        }
    };
}

这种方式可以创建一个全局CORS配置,如果仔细地设计URL结构,那么可以一目了然地看到各个URL的CORS规则,推荐使用这种方式配置CORS。

使用CorsFilter

第三种方法是使用Spring提供的CorsFilter,我们在集成Filter中详细介绍了将Spring容器内置的Bean暴露为Servlet容器的Filter的方法,由于这种配置方式需要修改web.xml,也比较繁琐,所以推荐使用第二种方式。

测试

当我们配置好CORS后,可以在浏览器中测试一下规则是否生效。

我们先用http://localhost:8080在Chrome浏览器中打开首页,然后打开Chrome的开发者工具,切换到Console,输入一个JavaScript语句来跨域访问API:

$.getJSON( "http://local.liaoxuefeng.com:8080/api/users", (data) => console.log(JSON.stringify(data)));

上述源站的域是http://localhost:8080,跨域访问的是http://local.liaoxuefeng.com:8080,因为配置的CORS不允许localhost访问,所以不出意外地得到一个错误:

cors-deny

浏览题打印了错误原因就是been blocked by CORS policy

我们再用http://local.liaoxuefeng.com:8080在Chrome浏览器中打开首页,在Console中执行JavaScript访问localhost

$.getJSON( "http://localhost:8080/api/users", (data) => console.log(JSON.stringify(data)));

因为CORS规则允许来自http://local.liaoxuefeng.com:8080的访问,因此访问成功,打印出API的返回值:

cors-ok

Groople
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot项目解决CORS问题
WhiteCrowZHZ
02-17 329
SpringBoot解决CORS
SpringBoot如何解决问题CORS
程序猿小龙的博客
08-13 632
    在前后端分离的项目中,通常会遇到问题。什么是呢?就是两个的协议号、主机号、端口号有其中一个不相同时,此时需要他们之间进行数据交换,这时候就涉及问题。通常网站请求是不允许的,因为是不安全的。     那当需要的时候,怎么去解决这个问题呢?     有三种方案可以参考:     1、使用JSONP的方式进行数据请求;     2、使用Nginx的方式进行反向代理;     3、使用CORS的方式进行资源共享;     下面我们就介绍一下在SpringBoot如何使用COR
Springboot设置以及设置多个地址
风华流沙君莫笑的博客
12-01 2528
文章引用 https://www.cnblogs.com/yhcjhun/p/10879690.html https://www.cnblogs.com/Java-Starter/p/7603313.html Springboot设置的三种方式 方式一(精细配置) 在需要的整个Controller或者单个方法上添加@CrossOrigin注解 方式二(全局配置) @Configuration public class WebMvcConfig extends WebMvcConfigurerAd.
SpringBootCORS问题详解和解决方案
Andya_net的博客
08-31 1979
关注微信公众号:CodingTechWork,一起学习进步。 引言   在前后端开发过程中,遇到过一种错误,类似于报错: Access to XMLHttpRequest at 'http://127.0.0.1:8080/' from origin 'null' has been blocked by CORS policy! No 'Access-Control-Allow-Origin' header is present on the requested resource. 亦或是 XMLHtt.
你可能不知道的CORS资源共享
10-17
主要给大家介绍了关于CORS资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot中通过重写WebMvcConfigurer的addCorsMapping方法实现后台服务解决问题
BADAO_LIUMANG_QIZHI的博客
12-16 4503
场景 之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTTP请求,默认情况下是被禁止的。换句话说,浏览器安全的基石是同源策略。 在使用SpringBoot写的后台接口,再通过js进行请求时提示问题,但是直接在浏览器中请求或者使用postman请求是没有问题的。 注: 博客:https://blog...
springboot
半生@浮名的博客
06-25 988
全局: 方式1: springboot2.0 import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.c...
CORS(资源共享)
weixin_30954607的博客
05-15 302
1, 简介CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,...
【Java】SpringBoot项目解决的几种方式
m0_64210833的博客
02-05 1595
在后端创建一个代理接口,将请求转发到目标服务器,再将响应返回给前端。配置(实现 WebMvcConfigurer 接口,重写 addCorsMappings 方法)如果项目中使用了 Spring Security,你可以在配置中添加相关的配置,以支持访问。如果只是需要实现 GET 请求的,可以使用 JSONP,但不适用于所有类型的请求。在请求处理前或响应返回前,修改请求或响应的头部信息,从而允许访问。协议、名、端口 3 个都相同就是同源。上添加 @CrossOrigin 注解。
Springboot处理CORS请求的三种方法
08-19
主要介绍了Springboot处理CORS请求的三种方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringbootCORS处理实现原理
08-19
本文主要介绍了 Springboot CORS 处理实现原理,通过示例代码详细讲解了问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
springbootCORS处理代码解析
08-25
Spring Boot CORS 处理是指在不同源之间共享资源时,如何解决浏览器的同源策略限制的问题。同源策略是浏览器的一种安全机制,禁止非同源访问,以防止恶意脚本攻击。为了解决这个问题,W3C 提出了 CORS(Cross-...
详解springboot设置cors请求的两种方式
08-26
Spring Boot 作为一个流行的 Java Web 框架,如何设置 CORS 请求是一个非常重要的问题CORS(Cross-Origin Resource Sharing,资源共享)是一种机制,它允许 Web 应用服务器进行资源共享。 在本文中,...
Springboot CORS设置.md
03-25
Springboot CORS设置
SpringBoot配置Cors解决请求问题
weixin_42571463的博客
12-28 393
一、同源策略简介 再此声明来源于:https://www.cnblogs.com/yuansc/p/9076604.html 这里供自己学习参考。 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 什么是源 源[origin]就是协议、名和端口号。例如:http://www.baid...
Springboot接口问题解决
m0_50565821的博客
01-04 1294
has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource
Tomcat访问(CROS)
萧曳丶
10-29 2932
文章目录第二步:在tomcat服务器下webapps/ROOT目录下创建如下两个xml文件1. clientaccesspolicy.xml2. crossdomain.xml第三步:修改Tomcat服务器下conf/web.xml,或者项目WEB-INF/web.xml, 项目场景: 两个项目 ,同一名不同端口 分别跑在同一台机器的两个tomcat中,构成。 首先需要进行cros配置,...
Springboot解决前后端分离项目,配置多个
热门推荐
酸酸酱的博客
05-22 2万+
需求和想法 项目前后端分离以后需要配置,且需要允许浏览器多个。我们知道Access-Control-Allow-Origin里面是只可以写一个名的,但是我们可以通过配置一个可被允许的origins数组,然后判断前端请求中的origin是否在这个数组中来解决这个问题~ Springboot的解决方法 方法有两种 第一种:使用springboot 已经实现的工具类org.springfr...
springboot配置(cors)
super的博客
01-29 7602
这篇文章需要读者对nginx和springboot相关的知识有一定了解,起码入过门。 一、什么是(cors)? 关于的介绍网上有很多,我参考资源共享 CORS 详解,阮老师写的很到位,我们来做个简单的总结 1、首先我们知道ajax只能同源使用限制,这是问题产生的原因,我们前端在ajax中请求了资源。 2、然后才有了corscors允许浏览器向源服务器发出XMLHtt...
Springboot处理CORS请求
最新发布
09-09
Springboot处理CORS请求的方式有多种。其中一种方式是通过委托给DefaultCorsProcessor来实现对CORS规则的校验。 另一种方式是使用@CrossOrigin注解,在控制器方法上添加该注解可以指定允许的源、方法、头部...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值