解决跨域(CORS)问题

最新推荐文章于 2024-08-26 22:04:47 发布
最新推荐文章于 2024-08-26 22:04:47 发布
阅读量1.7k 收藏 1
点赞数
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ww2651071028/article/details/129379421
版权
文章介绍了在前后端分离项目中,当使用SpringBoot并整合SpringSecurity时如何处理跨域问题。通过创建GlobalCorsConfig配置类允许跨域,以及在SecurityConfig中配置允许OPTIONS请求,成功解决了预检请求的认证问题。
摘要由CSDN通过智能技术生成

前后端分离项目,如何解决跨域问题

跨域资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。

什么是跨域问题

CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。

跨域问题演示及解决

我们使用mall项目的源代码来演示一下跨域问题。此时前端代码运行在8090端口上,后端代码运行在8080端口上,由于其域名都是localhost,但是前端和后端运行端口不一致,此时前端访问后端接口时,就会产生跨域问题。

点击前端登录按钮

此时发现调用登录接口时出现跨域问题。

覆盖默认的CorsFilter来解决该问题

添加GlobalCorsConfig配置文件来允许跨域访问。

package com.macro.mall.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
/**
* 全局跨域配置
* Created by macro on 2019/7/27.
*/
@Configuration
public class GlobalCorsConfig {
/**
* 允许跨域调用的过滤器
*/
@Bean
public CorsFilter corsFilter() {
CorsConfiguration config = new CorsConfiguration();
//允许所有域名进行跨域调用
config.addAllowedOrigin("*");
//允许跨越发送cookie
config.setAllowCredentials(true);
//放行全部原始头信息
config.addAllowedHeader("*");
//允许所有请求方法跨域调用
config.addAllowedMethod("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
}
}

或者使用这个配置类

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOriginPatterns("*")
.allowCredentials(true)
.allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH")
.maxAge(3600);
}
}

重新运行代码,点击登录按钮

发现需要登录认证的/admin/info接口的OPTIONS请求无法通过认证,那是因为复杂的跨越请求需要先进行一次OPTIONS请求进行预检,我们的应用整合了SpringSecurity,对OPTIONS请求并没有放开登录认证。

设置SpringSecurity允许OPTIONS请求访问

在SecurityConfig类的configure(HttpSecurity httpSecurity)方法中添加如下代码。

.antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
.permitAll()

重新运行代码,点击登录按钮

发现已经可以正常访问。

一次完整的跨域请求

先发起一次OPTIONS请求进行预检

  • 请求头信息:
Access-Control-Request-Headers: content-type
Access-Control-Request-Method: POST
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
  • 响应头信息:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Methods: POST
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Length: 0
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
  • 请求成功返回状态码为200

发起真实的跨域请求

  • 请求头信息:
Accept: application/json, text/plain
Content-Type: application/json;charset=UTF-8
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
{username: "admin", password: "123456"}
password: "123456"
username: "admin"
  • 响应头信息:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Type: application/json;charset=UTF-8
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Transfer-Encoding: chunked
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block
  • 请求成功返回状态码为200

Java技术攻略
关注
Cors解决跨域问题
weixin_46378983的博客
11-27 509
Cors中文名为跨域资源共享,定义了在跨域场景下浏览器和服务器通信的规范,Cors跨域ajax请求分为两类,一类是简单请求,另一类是非简单请求,两类跨域请求的通信过程存在差别 。 简单请求 什么是简单请求 简单请求要满足两个条件 请求方法类型为以下三种之一 get post head 请求首部字段只含简单头部,简单头部如下 Accept Accept-Langurage Content-Type(必须为application/x-www-urlencoded、multipart/form-dat
ASP.NET的WebService跨域CORS问题解决方案
zgw555555的专栏
06-10 985
在ASP.NET Web API中配置CORS跨域资源共享)通常涉及几个步骤,包括安装适当的NuGet包(如果你的Web API项目尚未包含CORS支持的话),并在Web API的配置中启用CORS。如果您的 WebService 是基于 ASP.NET Web API 的,那么可以使用 Microsoft.AspNet.WebApi.Cors NuGet 包来轻松配置 CORS。如果您的 WebService 是基于 ASP.NET Core 的,那么可以使用 CORS 中间件来配置 CORS
跨域问题配置
weixin_44131167的博客
06-02 151
* 请求常用的三种配置,*代表允许所有,也可以自定义属性(比如header只能带什么,只能是post方式等等)*/
UrlBasedCorsConfigurationSource无法转换为CorsConfigurationSource的原因
每天努力Coding
11-10 453
cors.reactive和cors中都有UrlBasedCorsConfigurationSource,如果照着尚硅谷老师的思路去做而不是直接复制代码,非常容易出现该问题
使用CORS解决跨域问题
最新发布
huangpb的博客
08-26 352
因为浏览器的同源策略才出现了跨域问题CORS是一套机制,用于浏览器校验跨域请求。其他情况都是非简单请求。非简单请求发起CORS跨域时,会先发送一次预检请求,也就是 options 请求,预检通过后再发送真实请求,跟简单请求一致。
CORS解决ajax跨域问题
热门推荐
Saytime
05-31 2万+
一、介绍 CROS是现在主流解决跨域问题的方案,未来估计也是趋势。 1. 跨域资源共享(CORS)Cross-Origin Resource Sharing (CORS) 是W3c工作草案,它定义了在跨域访问资源时浏览器和服务器之间如何通信。CORS背后的基本思想是使用自定义的HTTP头部允许浏览器和服务器相互了解对方,从而决定请求或响应成功与否。2. CORS与JSONPCORS与JSONP相
CORS 跨域解决方案
running_pork的博客
01-04 2043
复杂请求则需要2次,先发起options请求,确认目标资源是否支持跨域,浏览器会根据服务端响应的header自动处理剩余的请求,如果响应支持跨域,则继续发出正常请求;简单跨域请求只需要请求一次,复杂跨域请求需要请求2次,第一次是预检请求(options请求),第二次是真是的跨域请求。所以,当触发预检时,跨域请求便会发送2次请求,增加请求次数,同时,也延迟了请求真正发起的时间,会严重地影响性能。crossDomain: true //// 会让请求头中包含跨域的额外信息,但不会含cookie。
CORS解决跨域问题
qq_41635401的博客
11-11 4366
跨域问题 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www.jd.com/item www.jd.com/goods 为什么有跨域问题跨域不一定会有跨域问题
vue axios 解决跨域问题CORS
07-08
总结,解决Vue+axios跨域问题主要依赖于前端的代理配置和后端的CORS策略设置。在开发阶段,通过Vue CLI的proxy配置可以轻松地处理跨域;而在生产环境中,需要确保后端服务器正确设置了CORS策略,以允许前端的API请求...
跨域cors扩展插件chrome
12-13
标题中的“跨域cors扩展插件chrome”指的是用于解决Web应用程序跨域问题的Chrome浏览器扩展。在Web开发中,由于浏览器的同源策略限制,不同源的资源(比如域名、协议或端口不同)之间无法直接进行交互。CORS(Cross-...
Springboot跨域CORS处理实现原理
08-19
本文主要介绍了 Springboot 跨域 CORS 处理实现原理,通过示例代码详细讲解了跨域问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
通过cors解决跨域
u013089490的博客
11-06 2371
1.跨域概念       因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是于当前页同域名的路径,这能有效的阻止跨站攻击。因此:跨域问题 是针对ajax的一种限制。 【解决跨域问题的方法】  1.1、Jsonp最早的解决方案,利用script标签可以跨域的原理实现。   限制:   (1)需要服务的支持;   (2)只能发起GET请求; 1.2、ngin...
Spring MVC通过CROS协议解决跨域问题(转)
bug_yun的博客
01-03 529
  转:http://www.imooc.com/article/7719   现在接手学校网络中心的一个项目,根据团队成员的实际情况以及开发需要,老师希望做到前后端完全分离。后台使用java提供restful API 作为核心,前台无论PC或者移动端可以共用一个核心。前期解决了哦oauth2,作为授权机制等问题,本以为大业将成。(最近打算详细介绍一下机遇Spring sercurity...
跨域解决方案CORS
weixin_43393933的博客
01-01 280
跨域解决方案CORS
cors解决跨域问题
wcgdecsdn的博客
11-08 640
cors解决跨域
nodejs解决cors跨域问题
09-09
解决Node.js中的CORS跨域问题,可以使用以下方法: 在Node.js后台中,可以通过设置响应头来允许跨域访问。在示例代码中,可以看到使用了以下响应头的设置: - 'Access-Control-Allow-Credentials': 'true' :允许后端发送Cookie - 'Access-Control-Allow-Origin': 'http://www.domain1.com' :允许访问的域名 此外,还可以使用'Access-Control-Allow-Headers'来指定允许的请求头,以及'Access-Control-Allow-Methods'来指定允许的请求方法。 需要注意的是,虽然这样设置可以允许跨域请求,但由于后端不能跨域写cookie,所以只要在跨域接口的响应中写入一次cookie认证,后面的跨域接口都能从cookie中获取验证信息。 在Vue.js中,可以使用第三方库axios来发送跨域请求。示例代码中使用了this.$http.jsonp来发送跨域请求,其中: - 'http://www.domain2.com:8080/login' 是跨域请求的目标URL - 'jsonp: 'handleCallback' '是指定回调函数的名称 通过以上方法,在Node.js中可以解决CORS跨域问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值