java 解决跨域注解_Spring 跨域支持(CROS)注解:@CrossOrigin

最新推荐文章于 2024-08-16 08:21:15 发布
最新推荐文章于 2024-08-16 08:21:15 发布
阅读量797 收藏
点赞数
文章标签: java 解决跨域注解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29816689/article/details/114827229
版权

Spring MVC 4.2 增加 CORS 支持

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。

正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

更多CORS介绍请看这里:

在WEB项目中,如果我们想支持CORS,一般都要通过过滤器进行实现,可以定义一些基本的规则,但是不方便提供更细粒度的配置,如果你想参考过滤器实现,你可以阅读下面这篇文章:

Spring MVC 从4.2版本开始增加了对CORS的支持

在Spring MVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。

使用@CrossOrigin注解

先通过源码看看该注解支持的属性:

@Target({ ElementType.METHOD, ElementType.TYPE })

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface CrossOrigin {

String[] DEFAULT_ORIGINS = { "*" };

String[] DEFAULT_ALLOWED_HEADERS = { "*" };

boolean DEFAULT_ALLOW_CREDENTIALS = true;

long DEFAULT_MAX_AGE = 1800;

/**

* 同origins属性一样

*/

@AliasFor("origins")

String[] value() default {};

/**

* 所有支持域的集合,例如"http://domain1.com"。

*

这些值都显示在请求头中的Access-Control-Allow-Origin

* "*"代表所有域的请求都支持

*

如果没有定义,所有请求的域都支持

* @see #value

*/

@AliasFor("value")

String[] origins() default {};

/**

* 允许请求头重的header,默认都支持

*/

String[] allowedHeaders() default {};

/**

* 响应头中允许访问的header,默认为空

*/

String[] exposedHeaders() default {};

/**

* 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。

* 默认支持RequestMapping中设置的方法

*/

RequestMethod[] methods() default {};

/**

* 是否允许cookie随请求发送,使用时必须指定具体的域

*/

String allowCredentials() default "";

/**

* 预请求的结果的有效期,默认30分钟

*/

long maxAge() default -1;

}

如果你对这些属性的含义不是很明白,建议阅读下面的文章了解更多:

下面举例在方法和Controller上使用该注解。

在Controller上使用@CrossOrigin注解

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)

@RestController

@RequestMapping("/account")

public class AccountController {

@RequestMapping("/{id}")

public Account retrieve(@PathVariable Long id) {

// ...

}

@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

public void remove(@PathVariable Long id) {

// ...

}

}

这里指定当前的AccountController中所有的方法可以处理http://domain2.com域上的请求,

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600)

@RestController

@RequestMapping("/account")

public class AccountController {

@CrossOrigin("http://domain2.com")

@RequestMapping("/{id}")

public Account retrieve(@PathVariable Long id) {

// ...

}

@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

public void remove(@PathVariable Long id) {

// ...

}

}

在这个例子中,AccountController类上也有@CrossOrigin注解,retrieve方法上也有注解,Spring会合并两个注解的属性一起使用。

CORS全局配置

除了细粒度基于注解的配置,你可能会想定义一些全局CORS的配置。这类似于使用过滤器,但可以在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

基于JAVA的配置

看下面例子:

@Configuration

@EnableWebMvc

public class WebConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/**");

}

}

您可以轻松地更改任何属性,以及配置适用于特定的路径模式的CORS:

@Configuration

@EnableWebMvc

public class WebConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/**")

.allowedOrigins("http://domain2.com")

.allowedMethods("PUT", "DELETE")

.allowedHeaders("header1", "header2", "header3")

.exposedHeaders("header1", "header2")

.allowCredentials(false).maxAge(3600);

}

}

如果你使用Spring Boot,你可以通过这种方式方便的进行配置。

基于XML的配置

这个配置和上面JAVA方式的第一种作用一样。

同样,你可以做更复杂的配置:

allowed-origins="http://domain1.com, http://domain2.com"

allowed-methods="GET, PUT"

allowed-headers="header1, header2, header3"

exposed-headers="header1, header2" allow-credentials="false"

max-age="123" />

allowed-origins="http://domain1.com" />

金七言
关注
boot spring 跨域注解_Spring boot 入门之CORS 跨域配置详解
weixin_33218578的博客
12-24 468
引言在Java 编程中,web项目还是经常遇到一些跨域的使用。这里主要记录几种spring框架,spring boot中的一些常见的几种配置跨域的方法。CORS(Cross-origin resource sharing-跨源资源共享)允许网页从其他域向浏览器请求额外的资源,例如 字体,CSS或来自CDN的静态图像。 CORS有助于将来自多个域的网页内容提供给通常具有相同安全策略的浏览器。 在这个...
java 解决跨域注解_注解@CrossOrigin解决跨域问题
weixin_35214204的博客
02-27 6434
注解@CrossOrigin出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大...
spring 跨域注解
qq_35226176的博客
11-28 2513
@CrossOrigin
解决java cros 请求跨域的两种方法
最新发布
星辰探码的博客
08-16 601
CORS(Cross-Origin Resource Sharing)是一种浏览器技术标准,它允许浏览器向跨域服务器发出请求并接受响应。通过在服务器端设置适当的CORS响应头,可以控制浏览器是否允许前端发起跨域请求。对于使用Spring MVC的项目,可以直接使用Spring注解来配置CORS,方便且简洁。跨域问题在现代Web开发中非常常见。通过配置CORS过滤器或使用Spring注解,可以有效解决Java Web应用中的跨域问题。具体采用哪种方法取决于项目的实际需求和使用的框架。
getstring方法_分分钟学会微服务:从源码学习SpringBoot解决跨域方法
weixin_39880150的博客
11-26 136
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。但是,没有任何一款可以说没有缺点的框架或者没有BUG的软件,...
Spring CORS 跨域使用与原理(@CrossOrigin注解Java配置类方式,xml方式)
qq_45576664的博客
04-04 4279
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
使用Spring CROS解决项目中的跨域问题详解
08-25
Spring框架从4.2版本开始提供了对CROS支持,通过@CrossOrigin注解可以实现对CROS支持。 使用@CrossOrigin注解可以配置CROS的相关参数,例如origins、maxAge等。其中,origins参数指定了允许跨域请求的域名,max...
RESTful开发风格8:跨域问题二:Spring MVC实现“CORS跨域访问”的两种策略:类上使用【@CrossOrigin注解】;配置文件中通过<mvc:cors>进行全局配置;
小枯林的博客
11-18 1289
说明: (1)本篇博客的合理性解释: ●上篇博客的脉络是:【RESTful开发风格中,访问远程网站肯定会经常遇到】→【但是,浏览器存在一个同源策略】→【即,当访问不同域的资源时,会触犯浏览器同源策略,出现无法访问的问题】→【那么,为了能够实现访问不同域中的资源,就需要一种“跨域访问”机制】→【所以,在介绍“跨域访问”之前,上篇博客就先介绍浏览器的同源策略】; ●既然,上篇博客已经介绍了【浏览器同源策略】; ●那么【为了能够在访问不同...
详解SpringMVC解决跨域的两种方案
08-29
使用 @CrossOrigin 注解可以使控制器类或方法支持跨域。例如: ```java @CrossOrigin(origins = "*", maxAge = 3600) @RestController @RequestMapping("/User") public class UserController {} ``` 其中,origins ...
SpringCloud Gateway跨域配置代码实例
08-25
SpringCloud Gateway 跨域配置代码实例详解 在本文中,我们将详细介绍 SpringCloud Gateway 跨域配置代码实例。跨域配置是指在不同的源之间共享资源时,如何配置服务器以允许跨域请求。SpringCloud Gateway 提供了...
JAVA后端《CrossOrigin
weixin_43766298的博客
05-16 739
CrossOrigin@CrossOrigin注解说明 @CrossOrigin注解说明 import org.springframework.core.annotation.AliasFor; import org.springframework.web.bind.annotation.RequestMethod; import java.lang.annotation.*; @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(Re
java 跨域_spring mvc的跨域解决方案
weixin_39923945的博客
11-26 145
文章来源:www.cnblogs.com/wangsen/作 者:王森什么是跨域一句话:同一个ip、同一个网络协议、同一个端口,三者都满足就是同一个域,否则就是跨域。为什么非得跨域基于两个方面:a. web应用本身是部署在不同的服务器上b.基于开发的角度 --- 前后端分离web应用本身是部署在不同的服务器上,对应的域名也就有所不同比如百度。主域名:https://www.ba...
springboot post jsonp_Spring Boot 中三种跨域场景总结
weixin_39553757的博客
11-23 288
松哥周末抽空给 Spring Security 系列也录制了一套视频,目录如下:感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程跨域这个问题松哥之前写过文章,但是最近收到小伙伴们的一些问题,让我发现之前的总结不够全面,因此打再写一篇文章,来和大家分享一下 Spring Boot 中的跨域问题。这次我把 Spring Boot 中的跨域问题分为了三个场景:普...
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持Spring Framework
boot spring 跨域注解_Spring Boot 2.X优雅的解决跨域问题
weixin_39965881的博客
12-24 110
一、什么是源和跨域源(origin)就是协议、域名和端口号。URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口全部相同,则表示他们同源。否则,只要协议、域名、端口有任何一个不同,就是跨域。对https://www.baidu.com/index.html进行跨域比较:URL是否跨域原因https://www.baidu.com/more/index.html不跨域三要素相同htt...
java spring boot 注解验证_spring-boot条件注解
weixin_39682697的博客
11-28 289
什么是条件注解@Conditional 根据满足某一个特定条件创建一个特定的 Bean。就是根据特定条件来控制 Bean 的创建行为,这样我们可以利用这个特性进行一些自动的配置。Springboot 中大量用到了条件注解简单实践以不同的操作系统作为条件,我们将通过实现 CommandCondition 接口,并重写其 matches() 方法来构造判断条件。若在 Windows 系统下运行程序,则...
后端加了跨域注解还是不行_Spring Boot 2.x(九):遇到跨域不再慌
weixin_39755873的博客
12-09 1122
什么是跨域首先,我们需要了解一下一个URL是怎么组成的: // 协议 + 域名(子域名 + 主域名) + 端口号 + 资源地址 http: + // + http://www.baidu.com + :8080/只要协议,子域名,主域名,端口号这四项组成部分中有一项不同,就可以认为是不同的域,不同的域之间互相访问资源,就被称之为跨域。随着前后端分离开发的越来越普及,会经常遇到跨域的问题,...
springmvc跨域注解
qq_43077857的博客
08-26 441
java中关于跨域问题
AKA66的博客
08-01 189
跨域问题
@CrossOrigin注解解决跨域时本地有效服务器上部署时不生效
07-12
对于使用 @CrossOrigin 注解解决跨域问题,有时在本地有效,但在部署到服务器上时不生效的情况,可能是由于以下原因导致的: 1. 服务器配置问题:请确保服务器已经正确配置允许跨域请求。您可以检查服务器的 CORS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值