Spring跨域处理多种方式(<mvc:cors>,@CrossOrigin)

已于 2022-08-11 16:49:13 修改
阅读量471 收藏
点赞数
分类专栏: spring 文章标签: spring mvc java
于 2022-08-11 16:02:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44519904/article/details/126287185
版权

Spring跨域处理多种方式(<mvc:cors>,@CrossOrigin)

​ ​ 简单来说, 会根据请求头的Origin,判断是否为跨域请求. 通过设置responseHeaders(Access-Control-Allow-Origin等), 来允许跨域请求.(注意OPTIONS请求才会设置其他Access-Control-Allow-*头)

 ​ 总的来说, 可以在Filter(CorsFilter)Interceptor(CorsInterceptor)中判断并设置处理headers.(当然Spring提供的类, 最后的都复用同一个类DefaultCorsProcessor).
 ​ 可以基于xml或纯java配置, 源码分析基于Spring 5.2.5, 为了简洁会省去部分源码.

方式一: @CrossOrigin

可以在类或方法上添加, 最终会保存到Map<HandlerMethod,CorsConfiguration>(参考源码:AbstractHandlerMethodMapping,MappingRegistry)

该方式是基于Interceptor,参考源码:

// 基于RequestMappingHandlerMapping分析
public abstract class AbstractHandlerMapping {
    @Override
	public final HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
		// ...
		if (hasCorsConfigurationSource(handler) || CorsUtils.isPreFlightRequest(request)) {
			CorsConfiguration config = (this.corsConfigurationSource != null this.corsConfigurationSource.getCorsConfiguration(request) : null);
            // 找到cors配置
			CorsConfiguration handlerConfig = getCorsConfiguration(handler, request);
			config = (config != null ? config.combine(handlerConfig) : handlerConfig);
			executionChain = getCorsHandlerExecutionChain(request, executionChain, config);
		}

		return executionChain;
	}
    protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request,
			HandlerExecutionChain chain, @Nullable CorsConfiguration config) {

		if (CorsUtils.isPreFlightRequest(request)) {
			HandlerInterceptor[] interceptors = chain.getInterceptors();
			chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors);
		}
		else {
            // 创建拦截器
			chain.addInterceptor(0, new CorsInterceptor(config));
		}
		return chain;
	}
}

从第8行和第25行得出, 找到cors配置并创建CorsInterceptor拦截器, 拦截器最终会调用DefaultCorsProcessor

public class DefaultCorsProcessor implements CorsProcessor {
    protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,
			CorsConfiguration config, boolean preFlightRequest) throws IOException {
        // ...
        responseHeaders.setAccessControlAllowOrigin(allowOrigin);
        if (preFlightRequest) {
            responseHeaders.setAccessControlAllowMethods(allowMethods);
        }
        // ...        
    }
}

@CrossOrigin 缺省存在默认值, 具体看注解和CorsConfiguration#applyPermitDefaultValues

方式二: <mvc:cors>

在xml中配置, 与@CrossOrigin不同的是, 可以可以自定mapping, 从而配置整个项目, 其他是类似的也是基于Interceptor

<mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

mapping上还有其他自定义选项

方式三: CorsFilter

该方式类似于方式二, 不过是基于Filter, 当然背后走的是同一套逻辑.

@Configuration
public class MyConfiguration {

    @Bean
    public FilterRegistrationBean corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config); // 类似方式二
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}
不任意的任意门
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVCCORS的详细介绍
08-30
本文介绍了 CORS 的知识以及如何在 Spring MVC 中配置 CORS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
详解Spring MVC CORS
08-30
本篇文章主要介绍了详解Spring MVC CORS ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Web MVC资源共享(CORS
最新发布
听海边涛声
03-20 666
Spring Web MVC资源共享(CORS
注解@CrossOrigin解决问题
weixin_30668887的博客
06-11 2126
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。   源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不...
Spring @CrossOrigin快速解决接口问题(包含Springboot方式)
纸上得来终觉浅,绝知此事要躬行
02-15 2802
出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或...
Spring @CrossOrigin 注解原理实现
lgq2016的博客
12-08 1110
现实开发中,我们难免遇到问题,以前笔者只知道jsonp这种解决方式,后面听说spring只要加入@CrossOrigin即可解决问题。本着好奇的心里,笔者看了下@CrossOrigin 作用原理,写下这篇博客。 先说原理:其实很简单,就是利用spring的拦截器实现往response里添加 Access-Control-Allow-Origin等响应头信息,我们可以看下spring是怎么做的 注:这里使用的spring版本为5.0.6 我们可以先往RequestMappingHandlerMa
注解@CrossOrigin具有什么功能呢?
qq_25073223的博客
06-06 9527
CrossOrigin注解的功能简介说明
springboot之访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 8666
1.springboot之访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
@CrossOrigin及其实现原理
cristianoxm的博客
05-18 8925
一、关于什么是及解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
mvccors()的学习
qq_33554740的博客
03-02 2047
参考看路径http://blog.csdn.net/u012562943/article/details/53141991就是设置允许哪些请求来访问资源站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在不同于该请求所指向资源所在的的 HTTP 请求。比如说,名A(http://domaina.example)的某 Web 应用程序中通过标签引入了...
html标签中crossOrigin、integrity属性详解、SRI、HSTS
AIWWY的博客
07-27 1860
在canvas中使用drawImage()绘制图像时,若传入未声明属性的源元素,会使canvas变成污染状态(tainted),此时任何读取canvas数据的操作,如toBlob()等,均会抛出错误(可理解为在。
@CrossOrigin解决问题
06-22
使用@CrossOrigin注解解决前后台分离中的问题
spring MVC cors实现源码解析
08-31
本文主要介绍了spring MVC cors实现源码解析。具有很好的参考价值,下面跟着小编一起来看下吧
Spring Boot 通过CORS实现问题
09-07
主要介绍了Spring Boot 通过CORS实现,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring 注解面面通 之 @CrossOrigin 注解应用详解
键盘上流淌的日子
01-27 5507
  源资源共享(CORS),是由大多数浏览器实现的W3C规范,允许对请求进行灵活授权,用来代替IFRAME或JSONP等非正规实现方式。   @CrossOrigin是用来处理源资源共享(CORS)的注解。   注解解析   ① value:     指定允许请求源列表,例如:value="http://example.com"。     *表示允许来自任意请求源的请求。     其值存储在响应标头Access-Control-Allow-Origin中。     默认情况下,其值为*,允许来自任意
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 541
Spring MVC 4.2 增加 CORS 支持 站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在不同于该请求所指向资源所在的的 HTTP 请求。比如说,名A(http://domaina.example)的某 Web 应用程序中通过标签引入了名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
SpringMVC系列-7 @CrossOrigin注解与问题
Sheng_Q的博客
11-25 1614
理解同源策略是理解的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成站脚本攻击;不同源之间进行限制。 不同源之间形成,包括:协议、名、端口。http和https,localhost和127.0.0.1也会形成(即使经过名解析后相同)。 由于浏览器引擎实现了同源策略,即对访问进行了限制,因此存在问题。
Spring解决问题(@CrossOrigin
张育嘉的博客
08-09 3477
一、关于介绍 在前后分离的架构下,问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的源HTTP请求。 例如,XMLHttpRequest和Fetch API...
Spring 注解面面通 之 @CrossOrigin 注解应用详解
只为成功找方法 不为失败找借口
06-10 2538
默认情况下,只允许客户端访问:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。注意:CORS处理时,从Forwarded、X-Forwarded-Host、X-Forwarded-Port、X-Forwarded-Proto取请求源值。若为Cache-Control、Content-Language、Expires、Last-Modified、Pragma,则无需设置。
spring mvc 配置
06-06
要在Spring MVC项目中实现请求,可以通过配置CorsFilter来实现。 1. 首先,在web.xml文件中添加CorsFilter过滤器: ```xml <filter> <filter-name>CorsFilter</filter-name> <filter-class>org.springframework.web.filter.CorsFilter</filter-class> <init-param> <param-name>cors.allowed.origins</param-name> <param-value>*</param-value> </init-param> </filter> <filter-mapping> <filter-name>CorsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 2. 在Spring MVC配置文件中添加配置: ```xml <mvc:cors> <mvc:mapping path="/**" allowed-origins="*" allowed-methods="GET, POST, PUT, DELETE, OPTIONS" allowed-headers="Content-Type, X-Requested-With, Accept, Origin, Authorization" max-age="3600"/> </mvc:cors> ``` 以上配置允许所有来源的请求,允许的请求方法包括GET、POST、PUT、DELETE和OPTIONS,允许的请求头包括Content-Type、X-Requested-With、Accept、Origin和Authorization,缓存时间为3600秒。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值