SpringBoot中的跨域问题

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量243 收藏
点赞数
文章标签: java ajax http web html
原文链接:https://blog.csdn.net/u012702547/article/details/88546953
版权

后端如何解决跨域问题

一 同源策略

同源策略是一个重要的安全策略,它用于限制一个原始的文档或者它加载的脚本如何能与另一个源的资源进行交互。如果两个 URL 的 protocol、port (如果有指定的话)和 host 都相同的话,则这两个 URL 是同源。

下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html失败主机不同

同源策略是基于安全方面的考虑提出来的,这个策略本身没问题,但是我们在实际开发中,由于各种原因又经常有跨域的需求,而今天我们说的CORS(跨域源资源共享)(CORS,Cross-origin resource sharing)是一个W3C标准,它是一份浏览器技术的规范,提供了Web服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略

二 Springboot中的跨域实战

首先创建两个普通的SpringBoot项目,这个就不用我多说,第一个命名为provider提供服务,第二个命名为consumer消费服务,第一个配置端口为8080,第二个配置配置为8081,然后在provider上提供两个hello接口,一个get,一个post,如下:

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
    @PostMapping("/hello")
    public String hello2() {
        return "post hello";
    }
}

在consumer的resources/static目录下创建一个html文件,发送一个简单的ajax请求,如下:

<div id="app"></div>
<input type="button" onclick="btnClick()" value="get_button">
<input type="button" onclick="btnClick2()" value="post_button">
<script>
    function btnClick() {
        $.get('http://localhost:8080/hello', function (msg) {
            $("#app").html(msg);
        });
    }

    function btnClick2() {
        $.post('http://localhost:8080/hello', function (msg) {
            $("#app").html(msg);
        });
    }
</script>

然后分别启动两个项目,发送请求按钮,观察浏览器控制台如下:

Access to XMLHttpRequest at 'http://localhost:8080/hello' from origin 'http://localhost:8081' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

由于同源策略的限制,请求无法发送成功。

使用CORS可以在前端代码不做任何修改的情况下,实现跨域,那么接下来看看在provider中如何配置。首先可以通过@CrossOrigin注解配置某一个方法接受某一个域的请求,如下:

@RestController
public class HelloController {
    @CrossOrigin(value = "http://localhost:8081")
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    @CrossOrigin(value = "http://localhost:8081")
    @PostMapping("/hello")
    public String hello2() {
        return "post hello";
    }
}

这个注解表示这两个接口接受来自http://localhost:8081地址的请求,配置完成后,重启provider,再次发送请求,浏览器控制台就不会报错了,consumer也能拿到数据了。
此时观察浏览器请求网络控制台,可以看到响应头中多了如下信息:
在这里插入图片描述这个表示服务端愿意接收来自http://localhost:8081的请求,拿到这个信息后,浏览器就不会再去限制本次请求的跨域了。
provider上,每一个方法上都去加注解未免太麻烦了,在Spring Boot中,还可以通过全局配置一次性解决这个问题,全局配置只需要在配置类中重写addCorsMappings方法即可,如下:

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
        .allowedOrigins("http://localhost:8081")
        .allowedMethods("*")
        .allowedHeaders("*");
    }
}

/** 表示本应用的所有方法都会去处理跨域请求,allowedMethods表示允许通过的请求数,allowedHeaders则表示允许的请求头。经过这样的配置之后,就不必在每个方法上单独配置跨域了。

三 存在的问题

我们通过Ajax发送跨域请求,虽然用户体验提高了,但是也有潜在的威胁存在,常见的就是CSRF(Cross-site request forgery)跨站请求伪造。跨站请求伪造也被称为one-click attack 或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,举个例子:
假如一家银行用以运行转账操作的URL地址如下:http://icbc.com/aa?bb=cc,那么,一个恶意攻击者可以在另一个网站上放置如下代码:

<img src="http://icbc.com/aa?bb=cc">

如果用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会遭受损失。基于此,浏览器在实际操作中,会对请求进行分类,分为简单请求,预先请求,带凭证的请求等,预先请求会首先发送一个options探测请求,和浏览器进行协商是否接受请求。默认情况下跨域请求是不需要凭证的,但是服务端可以配置要求客户端提供凭证,这样就可以有效避免csrf攻击。
————————————————
版权声明:本文为CSDN博主「_江南一点雨」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u012702547/article/details/88546953

木讷的鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Failed to load resource netERR_NAME_NOT_RESOLVED 加载资源失败,错误名称无法解析,已拦截跨源请求:(原因:CORS 请求未能成功)
m0_54849887的博客
02-21 3074
1.先找到加载资源的地址(~~~~.com) 1.1火狐浏览器的报错——原因,CORS请求未能成功 1.2 Chrome浏览器的报错——加载资源失败,错误名称无法解析 a.先找加载资源的目标地址 把地址复制下来去终端ping 2.把http://后面的地址复制下来去终端ping,(比如 ping -t www.baidu.com) ping通的话,就说明能访问这个网址,如果出现下面这种一开始就请求超时,可能是对方关机,也可能是你请求不了这个网址,此处我的是因为公司内部有个安全软件,需要登录上,并且加
SpringBoot接口跨域问题
桐花思雨
09-29 190
目录跨域概念 跨域概念 我们的 Url 的一般格式都是:协议 + 域名(子域名 + 主域名) + 端口号 + 资源地址 如 https://www.dustyblog.cn:8080/say/Hello 是由 https + www + dustyblog.cn + 8080 + say/Hello 组成 只要 协议,子域名,主域名,端口号 这四项组成部分 有一项不同,就可以认为是不同的域,不同的域之间互相访问资源,就被称之为跨域 ...
SpringBoot解决跨域问题
打工人打工魂
09-19 254
Spring Boot解决跨域问题
已拦截跨源请求:同源策略禁止读取位于...的远程资源。(原因:CORS 请求未能成功)。
haoranhaoshi的博客
02-02 7965
已拦截跨源请求:同源策略禁止读取位于 http://192.168.43.207:8080/manager/login?name=hao&password=111 的远程资源。(原因:CORS 请求未能成功)。 IE可以正常运行,但Firefox报错,参考了官方文档(https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS/Err...
vue项目已拦截跨源请求:同源策略禁止读取位于....(原因:CORS 请求未能成功)解决方案
南风花海的博客
06-15 5746
手动给Global.asax配置,添加如下方法 最后记得退出所有终端,重新进入终端即可解决跨域报错问题。
CORS预检响应未成功,已拦截跨源请求:同源策略禁止读取位于
u011511086的专栏
07-16 6447
已拦截跨源请求:同源策略禁止读取位于 http://47.55.32.128:8081/abj_api/Login/GetRoleFunctions?roleId=800 的远程资源。(原因:CORS 请求未能成功)。 web.config配置 <system.webServer> <modules runAllManagedModulesForAllRequests="true"> <remove name="WebDAVModule" />
Springboot解决跨域问题
空佬徒弟
01-03 936
跨域问题产生于浏览器的同源策略(Same-Origin Policy)。同源策略是一种安全机制,它限制了一个网页从一个源加载的资源如何与来自另一个源的资源进行交互。同源是指协议、域名和端口号完全相同。例如,当网页 http://domain1.com/index.html 试图通过 XMLHttpRequest 请求 http://api.domain2.com/data.json 时,由于它们的域名不同(domain1.com 和 domain2.com),浏览器会阻止这种跨域请求。
springboot vue 跨域问题的解决
08-26
Spring Boot Vue 跨域问题的解决 ...解决 Spring Boot 和 Vue.js 之间的跨域问题可以通过在 Spring Boot 配置跨域或使用 Nginx 反向代理来实现。无论哪种方法,都可以解决跨域问题,提高应用程序的安全性和可用性。
springboot跨域问题解决方案
08-25
Spring Boot 提供了多种解决跨域问题的方法,包括在 Controller 使用 @CrossOrigin 注解、在 WebMvcConfigurer 接口实现跨域支持、使用拦截器等。 方法一:使用 @CrossOrigin 注解 在 Controller 使用 @...
Springboot跨域问题三种解决方案
08-19
Springboot 跨域问题是指在前后端分离项目,客户端与服务器端的 origin 不同,从而导致的跨域资源共享问题。下面将介绍 Springboot 跨域问题三种解决方案。 一、全局配置 在 Springboot 项目,可以通过实现 ...
解决springboot实现跨域session共享问题
01-25
本文将详细讲解如何在Spring Boot应用解决跨域session共享的问题,并探讨防止SQL注入的相关策略。 首先,让我们理解什么是跨域跨域是指由于浏览器的同源策略限制,不同域名、协议或端口之间的页面无法直接通信...
springboot后端解决跨域问题
08-26
例如,如果在A网站,我们希望使用Ajax来获得B网站的特定内容,如果A网站与B网站不在同一个域,那么就出现了跨域访问问题。 什么是同一个域? 同一协议,同一ip,同一端口,三同有一不同就产生了跨域。 ...
浏览器报“已拦截跨源请求:同源策略禁止读取位于XXX的远程资源(CORS 请求不是 http)”
热门推荐
df1445的博客
03-07 1万+
火狐浏览器设置步骤: 1.进入火狐配置页进行设置 ,地址栏输入"about:config" 2.点击”我了解此风险”后进入页面 3.搜索”security.fileuri.strict_origin_policy”,并设置该项为false 4.重启浏览器,可以跨域访问 谷歌浏览器: 不支持,别浪费力气了 ———————————————— 版权声明:本文为CSDN博主「老裆益壮☭」的原创文章,遵循 ...
【SSL证书更换】:已拦截跨源请求:同源策略禁止读取位于 https://xxxxxx.top:8181/staff/login?xxx的远程资源(原因:CORS 请求未能成功)问题解决
要思考,要努力
01-02 709
1.问题出现:出现了CORS请求不能成功的问题,原因是因为 SSL 证书过期了。2.在更换 前端 SSL 证书之后,问题并不能得到解决。3.解决办法:必须同时更换后端的 SSL - tomcat 版本的证书。
解决CORS错误(Spring Boot)
墨辰JC的博客
02-07 5048
跨域(Cross-Origin)是指在Web开发,当一个Web应用试图从一个源(域名、协议、端口组合)获取资源时,该请求的目标与当前页面的源不同。具体来说,当一个页面的JavaScript代码尝试向不同域名、协议或端口的服务器发送请求时,就会发生跨域请求。跨域请求是由浏览器实施的同源策略(Same-Origin Policy)限制导致的。同源策略是浏览器的一项安全机制,旨在保护用户的隐私和安全。同源策略要求Web页面只能从相同源加载资源,不同源的页面不能访问彼此的数据,以防止恶意网站获取用户的敏感信息。
springboot+vue上传至云服务后出现的跨域问题
biandang6的博客
05-10 1255
vue部署后出现跨域的解决方式
CORS跨域 GET、POST、PUT、DELETE等请求
白衣若尘的博客
11-26 9276
跨域请求一直是网页编程的一个难题,在过去,绝大多数人都倾向于使用JSONP来解决这一问题。不过现在,我们可以考虑一下W3C一项新的特性——CORS(Cross-Origin Resource Sharing)了。 客户端: 创建XmlHttpRequest对象:      对于CORS,Chrome、FireFox以及Safari,需要使用XmlHttpRequest2对象;而对于IE,
Firefox浏览器报错:CORS请求未能成功
snowflakelm的博客
08-31 7026
最近在开发遇到个问题,项目部署完后在Google浏览器能正常使用,但是在Firefox浏览器报跨域拦截(CORS请求未能成功);经检查后端代码以及Nginx都已经配置了跨域相关的代码,按理不应该在出现跨域问题啊。经排查发现问题出在证书上,Firefox认为后端证书不安全从而进行了拦截,好像是项目的域名与证书不一致导致。证书管理器弹窗里切到服务器部分,点击添加例外,再把需要信任的地址添加进去,就可以正常访问了。由于这是浏览器的安全机制做的拦截,只要让浏览器信任该证书就行。...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 310
1.导入hutool的maven依赖。2.复制一下代码执行。
springboot处理跨域问题
08-12
在Spring Boot处理跨域问题可以通过以下步骤进行: 1. 添加跨域配置类:创建一个类并注解为`@Configuration`,并实现`WebMvcConfigurer`接口。在该类重写`addCorsMappings`方法。 ```java @Configuration ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值