java 解决跨域注解_注解@CrossOrigin解决跨域问题

最新推荐文章于 2024-05-17 09:28:31 发布
最新推荐文章于 2024-05-17 09:28:31 发布
阅读量6.4k 收藏
点赞数
文章标签: java 解决跨域注解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35214204/article/details/114827224
版权

注解@CrossOrigin

出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。

跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。

一、跨域(CORS)支持:

Spring Framework 4.2 GA为CORS提供了第一类支持,使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持@CrossOrigin

二、使用方法:

1、controller配置CORS

1.1、controller方法的CORS配置,您可以向@RequestMapping注解处理程序方法添加一个@CrossOrigin注解,以便启用CORS(默认情况下,@CrossOrigin允许在@RequestMapping注解中指定的所有源和HTTP方法):

@RestController

@RequestMapping("/account")public classAccountController {

@CrossOrigin

@GetMapping("/{id}")publicAccount retrieve(@PathVariable Long id) {//...

}

@DeleteMapping("/{id}")public voidremove(@PathVariable Long id) {//...

}

}

其中@CrossOrigin中的2个参数:

origins : 允许可访问的域列表

maxAge:准备响应前的缓存持续的最大时间(以秒为单位)。

1.2、为整个controller启用@CrossOrigin

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)

@RestController

@RequestMapping("/account")public classAccountController {

@GetMapping("/{id}")publicAccount retrieve(@PathVariable Long id) {//...

}

@DeleteMapping("/{id}")public voidremove(@PathVariable Long id) {//...

}

}

在这个例子中,对于retrieve()和remove()处理方法都启用了跨域支持,还可以看到如何使用@CrossOrigin属性定制CORS配置。

1.3、同时使用controller和方法级别的CORS配置,Spring将合并两个注释属性以创建合并的CORS配置。

@CrossOrigin(maxAge = 3600)

@RestController

@RequestMapping("/account")public classAccountController {

@CrossOrigin(origins= "http://domain2.com")

@GetMapping("/{id}")publicAccount retrieve(@PathVariable Long id) {//...

}

@DeleteMapping("/{id}")public voidremove(@PathVariable Long id) {//...

}

}

1.4、如果您正在使用Spring Security,请确保在Spring安全级别启用CORS,并允许它利用Spring MVC级别定义的配置。

@EnableWebSecuritypublic class WebSecurityConfig extendsWebSecurityConfigurerAdapter {

@Overrideprotected void configure(HttpSecurity http) throwsException {

http.cors().and()...

}

}

2、全局CORS配置

除了细粒度、基于注释的配置之外,您还可能需要定义一些全局CORS配置。这类似于使用筛选器,但可以声明为Spring MVC并结合细粒度@CrossOrigin配置。默认情况下,所有origins and GET, HEAD and POST methods是允许的。

JavaConfig

使整个应用程序的CORS简化为:

@Configuration

@EnableWebMvcpublic class WebConfig extendsWebMvcConfigurerAdapter {

@Overridepublic voidaddCorsMappings(CorsRegistry registry) {

registry.addMapping("/**");

}

}

如果您正在使用Spring Boot,建议将WebMvcConfigurer bean声明如下:

@Configurationpublic classMyConfiguration {

@BeanpublicWebMvcConfigurer corsConfigurer() {return newWebMvcConfigurerAdapter() {

@Overridepublic voidaddCorsMappings(CorsRegistry registry) {

registry.addMapping("/**");

}

};

}

}

您可以轻松地更改任何属性,以及仅将此CORS配置应用到特定的路径模式:

@Overridepublic voidaddCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/**")

.allowedOrigins("http://domain2.com")

.allowedMethods("PUT", "DELETE")

.allowedHeaders("header1", "header2", "header3")

.exposedHeaders("header1", "header2")

.allowCredentials(false).maxAge(3600);

}

如果您正在使用Spring Security,请确保在Spring安全级别启用CORS,并允许它利用Spring MVC级别定义的配置。

3、XML命名空间

还可以将CORS与MVC XML命名空间配置。

a、如果整个项目所有方法都可以访问,则可以这样配置;此最小XML配置使CORS在/**路径模式具有与JavaConfig相同的缺省属性:

其中* 表示匹配到下一层;** 表示后面不管有多少层,都能匹配。

如:

这个可以匹配到的路径有:

/api/aaa

/api/bbbb

不能匹配的:

/api/aaa/bbb

因为* 只能匹配到下一层路径,如果想后面不管多少层都可以匹配,配置如下:

注:其实就是一个(*)变成两个(**)

b、也可以用定制属性声明几个CORS映射:

请求路径有/api/,方法示例如下:

@RequestMapping("/api/crossDomain")

@ResponseBodypublicString crossDomain(HttpServletRequest req, HttpServletResponse res, String name){

……

……

}

c、如果使用Spring Security,不要忘记在Spring安全级别启用CORS:

...

4、How does it work?

CORS请求(包括预选的带有选项方法)被自动发送到注册的各种HandlerMapping 。它们处理CORS准备请求并拦截CORS简单和实际请求,这得益于CorsProcessor实现(默认情况下默认DefaultCorsProcessor处理器),以便添加相关的CORS响应头(如Access-Control-Allow-Origin)。 CorsConfiguration 允许您指定CORS请求应该如何处理:允许origins, headers, methods等。

b、子类可以通过重写AbstractHandlerMapping类的getCorsConfiguration(Object, HttpServletRequest)方法来提供自己的CorsConfiguration。

5、基于过滤器的CORS支持

作为上述其他方法的替代,Spring框架还提供了CorsFilter。在这种情况下,不用使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry),,例如,可以在Spring Boot应用程序中声明如下的过滤器:

@Configurationpublic classMyConfiguration {

@BeanpublicFilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source= newUrlBasedCorsConfigurationSource();

CorsConfiguration config= newCorsConfiguration();

config.setAllowCredentials(true);

config.addAllowedOrigin("http://domain1.com");

config.addAllowedHeader("*");

config.addAllowedMethod("*");

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean= new FilterRegistrationBean(newCorsFilter(source));

bean.setOrder(0);returnbean;

}

}

三、spring注解@CrossOrigin不起作用的原因

1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin

2、非@CrossOrigin没有解决跨域请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示跨域问题。

3、在Controller注解上方添加@CrossOrigin注解后,仍然出现跨域问题,解决方案之一就是:

在@RequestMapping注解中没有指定Get、Post方式,具体指定后,问题解决。

类似代码如下:

@CrossOrigin

@RestControllerpublic classperson{

@RequestMapping(method=RequestMethod.GET)publicString add() {//若干代码

}

}

四、参考文章:

masaki叔还是这么可爱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring @CrossOrigin 注解原理实现
08-18
Spring @CrossOrigin 注解是 Spring 框架中的一种注解,用于解决跨域请求问题。在本文中,我们将详细介绍 Spring @CrossOrigin 注解的原理实现。 一、什么是跨域请求? 跨域请求是指从一个域名下的页面请求另一个...
跨域 问题 原理以及解决方法
Monster的博客
12-26 1636
深入讲解一下CORS:CORS其实就是跨域资源共享,它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。:出现的较晚,它是W3C标准,属于跨域Ajax请求的根本解决方案。
ajax跨域处理 No 'Access-Control-Allow-Origin' header is present on the requested resource 问题
weixin_30820151的博客
08-22 697
Controller层的类上增加@CrossOrign注解,当前文件的所有接口就都可以被调用 spring注解@CrossOrigin不起作用的原因 1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin 2、非@CrossOrigin没有解决跨域请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示跨域问题。 3、在Controlle...
【spring】@CrossOrigin注解学习
最新发布
一个写了10年bug的程序员日常笔记。
05-17 1395
是 Spring Framework 中的一个注解,用于处理跨域资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
说说跨域和@CrossOrigin注解的作用
qq_37306041的博客
04-27 995
跨域和@CrossOrigin
注解解决跨域的问题
ZhiJICN的博客
01-04 1724
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和...
SpringMVC系列-7 @CrossOrigin注解跨域问题
Sheng_Q的博客
11-25 3041
理解同源策略是理解跨域的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成跨站脚本攻击;不同源之间进行限制。 不同源之间形成跨域,包括:协议、域名、端口。http和https,localhost和127.0.0.1也会形成跨域(即使经过域名解析后相同)。 由于浏览器引擎实现了同源策略,即对跨域访问进行了限制,因此存在跨域问题
三种跨域解决方案:HttpClient、注解、网关
民工哥的博客
01-31 266
点击关注公众号,Java干货及时送达????为什么会有跨域问题因为浏览器的同源政策,就会产生跨域。比如说发送的异步请求是不同的两个源,就比如是不同的的两个端口或者不同的两个协议或者不同的域名。由于浏览器为了安全考虑,就会产生一个同源政策,不是同一个地方出来的是不允许进行交互的。常见的跨域解决方式在控制层加入允许跨域注解@CrossOrigin使用httpclient,不依赖浏览器使用网关Gatew...
@CrossOrigin解决跨域问题
06-22
使用@CrossOrigin注解解决前后台分离中的跨域问题
Java服务器端跨域问题解决方案
08-25
Java服务器端跨域问题解决方案 Java 服务器端跨域问题解决方案是指在 Java 服务器端如何解决跨域问题解决方案。跨域问题是指在 Ajax 请求中,因为安全限制,浏览器不能将数据发送到不同源(domain、protocol 或 ...
java服务器端解决跨域问题共6页.pdf.zip
10-28
Java服务器端解决跨域问题是一项常见的任务,尤其是在开发Web应用时。跨域是由于浏览器的安全策略,即同源策略(Same-Origin Policy)所引起的。同源策略限制了来自不同源的HTTP请求,防止恶意网站通过JavaScript...
项目中跨域解决方式:HttpClient、注解、网关
chaojiyingxiong的博客
02-07 1845
跨域、网关、springcloud、httpclient
跨域介绍及Java中常见的跨域解决方案
akaiyijian001的博客
06-02 4552
跨域(Cross-Origin)指的是在浏览器中,由于安全策略的限制,当前网页的 JavaScript 代码无法直接访问不同源(协议、域名、端口)的资源。这意味着如果网页尝试通过 AJAX、Fetch 或 WebSocket 等方式向不同源的服务器发送请求,浏览器会阻止这些请求,从而避免潜在的安全风险。
解决跨域注解
weixin_46158141的博客
06-17 3512
跨域注解一、注解 一、注解跨域文件不好用时可以在方法上加上 @CrossOrigin 每个方法上面记得都要跨域注解
springboot之跨域访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 9705
1.springboot之跨域访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
Springboot解决跨域问题的三种方式
weixin_50528222的博客
05-30 2676
对应的方法上添加@CrossOrigin或者类上添加@CrossOrigin。新建配置类CorsConfig,创建。
JavaJava解决跨域问题的几种方法(建议收藏)
热门推荐
DreamSun的博客
07-18 1万+
定义跨域(CORS)是指不同域名之间相互访问。跨域,指的是浏览器不能执行其他网站的脚本,它是由浏览器的同源策略所造成的,是浏览器对于JavaScript所定义的安全限制策略。当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。原因在前后端分离的模式下,前后端的域名是不一致的,此时就会发生跨域访问问题。在请求的过程中我们要想回去数据一般都是post/get请求,所以…跨域问题出现。
Spring CORS 跨域使用与原理(@CrossOrigin注解Java配置类方式,xml方式)
qq_45576664的博客
04-04 3665
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 跨域资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种跨域请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)。 Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
解决跨域问题
lyyibaobao的博客
06-28 291
Spring Boot 中实现跨域的 5 种方式,你一定要知道! 一、为什么会出现跨域问题 ​ 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 ​ 同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(ho
@CrossOrigin是怎么解决跨域问题
06-02
`@CrossOrigin` 是 Spring Framework 中的注解,用于解决跨域问题。当我们在前端使用 AJAX 或 WebSocket 等技术与后端进行通信时,如果前端代码所在的域名与后端代码所在的域名不同,就会产生跨域问题。这时候就需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值