跨域不生效_Spring Boot中的跨域,为什么加了 Spring Security 就失效了呢?

最新推荐文章于 2024-06-11 09:48:54 发布
最新推荐文章于 2024-06-11 09:48:54 发布
阅读量811 收藏 2
点赞数
文章标签: 跨域不生效
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32349093/article/details/112663167
版权
本文介绍了Spring Boot中处理跨域的三种方式:@CrossOrigin注解、WebMvcConfigurer.addCorsMappings和CorsFilter,并探讨了在引入Spring Security后,为何跨域配置可能失效。解决方案是通过HttpSecurity.cors方法调整CorsFilter的位置,使其先于Spring Security过滤器执行,以确保预检请求的正常处理。文章深入分析了CORS的工作原理、配置方式及Spring中的实现细节。
摘要由CSDN通过智能技术生成

9fc926ffe8bc856d712f703c567677ee.png

本文地址:sf.gg/a/1190000019485883

松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里-->Spring Boot+Vue+微人事视频教程

关于 Spring Boot 中的跨域问题,松哥之前写过一篇文章:Spring Boot 中三种跨域场景总结,不过当时只是写了用法,没有讲原理,其实原理也不难,最近刚好看到一篇文章很不错,和大家分享一下。

松哥稍微总结一下文章内容:

  1. Spring Boot 中处理跨域有三种方式,@CrossOrigin 注解、WebMvcConfigurer.addCorsMappings 以及 CorsFilter。
  2. 前两种本质上通过 CorsInterceptor 触发调用,后者是一个普通的 Filter。
  3. Filter 先于 DispatcherServlet 执行,DispatcherServlet 先于 Interceptor 执行。
  4. 引入 Spring Security 后,Spring Security 过滤器会拦截下跨域的预检请求,此时只要放对 CorsFilter 的位置使其先于 Spring Security 过滤器执行,就能解决问题。

以下是正文:

作为一个后端开发,我们经常遇到的一个问题就是需要配置 CORS,好让我们的前端能够访问到我们的 API,并且不让其他人访问。而在 Spring 中,我们见过很多种 CORS 的配置,很多资料都只是告诉我们可以这样配置、可以那样配置,但是这些配置有什么区别?

1.CORS 是什么

首先我们要明确,CORS 是什么,以及规范是如何要求的。这里只是梳理一下流程。

CORS 全称是 Cross-Origin Resource Sharing,直译过来就是跨域资源共享。要理解这个概念就需要知道域、资源和同源策略这三个概念。

  • 域,指的是一个站点,由 protocal、host 和 port 三部分组成,其中 host 可以是域名,也可以是 ip ;port 如果没有指明,则是使用 protocal 的默认端口.
  • 资源,是指一个 URL 对应的内容,可以是一张图片、一种字体、一段 HTML 代码、一份 JSON 数据等等任何形式的任何内容。
  • 同源策略,指的是为了防止 XSS,浏览器、客户端应该仅请求与当前页面来自同一个域的资源,请求其他域的资源需要通过验证。

了解了这三个概念,我们就能理解为什么有 CORS 规范了:从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情况下、允许跨域请求正常发送,这样的机制就是 CORS。

2.预检请求

在 CORS 中,定义了一种预检请求,即 preflight request,当实际请求不是一个 简单请求 时,会发起一次预检请求。预检请求是针对实际请求的 URL 发起一次 OPTIONS 请求,并带上下面三个 headers :

  • Origin:值为当前页面所在的域,用于告诉服务器当前请求的域。如果没有这个 header,服务器将不会进行 CORS 验证。
  • Access-Control-Request-Method:值为实际请求将会使用的方法。
  • Access-Control-Request-Headers:值为实际请求将会使用的 header 集合。

如果服务器端 CORS 验证失败,则会返回客户端错误,即 4xx 的状态码。

否则,将会请求成功,返回 200 的状态码,并带上下面这些 headers:

  • Access-Control-Allow-Origin:允许请求的域,多数情况下,就是预检请求中的 Origin 的值。
  • Access-Control-Allow-Credentials:一个布尔值,表示服务器是否允许使用 cookies。
  • Access-Control-Expose-Headers:实际请求中可以出现在响应中的 headers 集合。
  • Access-Control-Max-Age:预检请求返回的规则可以被缓存的最长时间,超过这个时间,需要再次发起预检请求。
  • Access-Control-Allow-Methods:实际请求中可以使用到的方法集合浏览器会根据预检请求的响应,来决定是否发起实际请求。

2.1 小结

到这里, 我们就知道了跨域请求会经历的故事:

  1. 访问另一个域的资源。
  2. 有可能会发起一次预检请求(非简单请求,或超过了 Max-Age)。
  3. 发起实际请求。

接下来,我们看看在 Spring 中,我们是如何让 CORS 机制在我们的应用中生效的。

3.三种配置的方式

Spring 提供了多种配置 CORS 的方式,有的方式针对单个 API,有的方式可以针对整个应用;有的方式在一些情况下是等效的,而在另一些情况下却又出现不同。我们这里例举几种典型的方式来看看应该如何配置。

假设我们有一个 API:

@RestController
class HelloController {
    
    @GetMapping("hello")
    fun hello(): String {
    
        return "Hello, CORS!"
    }
}

3.1 @CrossOrigin 注解

使用 @CorssOrigin 注解需要引入 Spring Web 的依赖,该注解可以作用于方法或者类,可以针对这个方法或类对应的一个或多个 API 配置 CORS 规则:

@RestController
class HelloController {
    
    @GetMapping("hello")
    @CrossOrigin(origins = ["http://localhost:8080"])
    fun hello(): String {
    
        return "Hello, CORS!"
    }
}

3.2 实现 WebMvcConfigurer.addCorsMappings 方法

WebMvcConfigurer 是一个接口,它同样来自于 Spring Web。我们可以通过实现它的 addCorsMappings 方法来针对全局 API 配置 CORS 规则:

@Configuration
@EnableWebMvc
class MvcConfig: WebMvcConfigurer {
    
    override fun addCorsMappings(registry: Co
最低0.47元/天 解锁文章
任云舒
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
grpc双向流 python_grpc双向流
weixin_35990183的博客
02-01 990
简介grpc是一个高性能、开源和通用的 RPC 框架,面向移动和 HTTP/2 设计。目前提供 C、Java 和 Go 语言版本,分别是:grpc, grpc-java, grpc-go. 其 C 版本支持 C, C++, Node.js, Python, Ruby, Objective-C, PHP 和 C# 支持.gRPC 基于 HTTP/2 标准设计,带来诸如双向流、流控、头部压缩、单 T...
为什么Spring Security 导致 Spring Boot 跨域失效呢?
ITMuch的专栏
10-04 899
点击上方IT牧场,选择置顶或者星标技术干货每日送达作者:欧阳我去链接:https://segmentfault.com/a/1190000019485883作为一个后端开发,我们经...
关于Spring Security的CORS
最新发布
寻码启示
06-11 1407
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
Java过滤器解决跨域问题
码出精彩
05-30 2761
Java后端解决跨域问题 代码: import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CORSFilter implements Filter{ @Override public void destroy() { } @Override public void doFilter(Servle
使用拦截器解决跨域问题
城陌者的博客
07-10 989
/响应客户端的头部 允许携带Token 等等 response . setHeader("Access-Control-Allow-Credentials" , "true");// 允许携带cookie response . setHeader("Access-Control-Max-Age" , "3600");// 预检请求的结果缓存时间 return true;} }
过滤器实现跨域问题
heyeweiwan的专栏
10-31 1024
public class CorsFilter implements Filter{ @Override public void init(FilterConfig filterConfig) throws ServletException { // TODO Auto-generated method stub } @Override public void doFilt
详解Spring Boot 2.0.2+Ajax解决跨域请求的问题
08-26
"详解Spring Boot 2.0.2+Ajax解决跨域请求的问题" 知识点1:什么是跨域请求? 跨域请求是指浏览器从一个域名下的网页去请求另一个域名下的资源时,出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
spring-boot-websocket-sample-master.zip_spring boot_spring-boot_
09-24
在IT行业Spring Boot是一个非常流行的Java框架,用于简化Spring应用程序的开发。它提供了一种快速启动和配置项目的方式,使得开发者可以专注于业务逻辑,而不是基础架构。在本例,"spring-boot-websocket-...
Spring Boot设置支持跨域请求过程详解
08-18
主要介绍了Spring Boot设置支持跨域请求过程详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
Spring Boot实现跨域访问实现代码
08-29
Spring Boot 实现跨域访问实现代码 Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。跨域访问是指从一个域名下的网页去请求另一个域名下的资源,而 Spring Boot 提供了多种方式来实现...
过滤器或拦截器跨域CORS处理
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2409765
java 跨越拦截器_Spring Boot配置拦截器及实现跨域访问的方法
weixin_39714191的博客
02-27 540
拦截器功能强大,能够深入方法前后,常应用于日志记录、权限检查和性能检测等,几乎是项目不可或缺的一部分,本文就来实现Spring Boot自定义拦截器的配置。理论指导问:Spring Boot怎么配置拦截器?答:配置一个拦截器需要两步完成。自定义拦截器,实现HandlerInterceptor这个接口。这个接口包括三个方法,preHandle是请求执行前执行的,postHandler是请求结束执行...
利用过滤器解决跨域问题
无名小卒菜的博客
11-26 2349
1.什么是跨域跨域:指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对javascript施的安全限制。 注:同源策略:是指协议,域名,端口都要相同,其有一个不同都产生跨域。 2.这里我们演示一个demo,端口号不同引起的跨域问题,假设项目A ,ajax访问项目B的接口,但是两个项目的端口号不同,引起的跨域问题。 写一个简单的java web项目A,端口...
使用过滤器解决跨域问题
qq_39183887的博客
09-24 823
利用过滤器解决跨域问题 package com.etoak.book_self.commons.filter; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @WebFilter("/*") public class Filter0_CrossFilter imple
java后端解决跨域问题(过滤器或者注解)
热门推荐
阳光
11-16 1万+
1。允许整个项目跨域访问,可通过filter来进行过虑: public class SimpleCORSFilter implements Filter{ @Override public void destroy() { } @Override public void doFilter(Servle...
java过滤器解决跨域问题
淮右布衣的博客
03-14 931
1.新建过滤器CORSFilter public class CORSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(Ser...
java实现跨域拦截
weixin_41759186的博客
12-24 1163
1.创建AccessInterceptor类实现HandlerInterceptor接口 public class AccessInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse r...
什么? 就只是了一个 Spring Security 依赖, 所有接口都无法访问了?
nimo10050的博客
05-15 4056
开篇 前面我们写了 4 篇 Spring Security 的实战教程, 全部基于 Springboot 搭建的. Spring Security 入门 - 01 将 Spring security 引入到工程 Spring security 入门 - 02 自定义用户登录页面和登录处理逻辑 Spring security 入门 - 03 自定义登录成功后的处理逻辑 Spring security 入门 - 04整合 jwt 虽然我们学了怎么用, 但是里面的原理还没搞清楚. 因此, 从本文开始, 我们
Spring Boot 如何解决跨域问题?
05-31
Spring Boot 解决跨域问题有多种方式,以下是其的两种: 1. 使用 @CrossOrigin 注解 在 Spring Boot 的 Controller 层,可以使用 @CrossOrigin 注解来解决跨域问题。例如: ``` @RestController public ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值