CORS的理解以及Spring Boot的配置方式

最新推荐文章于 2024-07-03 07:00:00 发布
最新推荐文章于 2024-07-03 07:00:00 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: WEB 文章标签: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yin138/article/details/79274604
版权

理解CORS

跨域访问其实是很正常的,比如,如果页面应用了CDN服务的资源,CDN资源的域名和后台服务器肯定不同,所以跨域没有什么问题。那为什么浏览器要提示:

已拦截跨源请求:同源策略禁止读取位于 http://xxxxx.com/account/cors 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin’)。

这主要是浏览器出于对安全的考虑,缺省情况下,浏览器限制从脚本内发起的跨源HTTP请求。而目前我测试Safari, Firefox, Chrome浏览器,它们的动作实际是“限制”执行响应脚本,例如ajax的回调函数,在控制台,可以看到错误提示消息:
不同浏览器提示的错误

注意这里的“限制”,实际是限制请求成功调用执行结果,起到保护作用。

为什么是限制回调,而不是直接拦截呢?

我们需要明确CORS的限制不是在于你的主服务器是否允许访问其他站点,而是,其他站点是否允许你访问。就是,跨域限制是一种提供浏览器识别跨站点调用的网站是否允许当前站点调用。
加上taobao有一个数据服务器api接口,他只希望taobao的域名内的站点访问,那是不是其他站点就无法访问这些呢?如果按前面的理解:限制回调的过程,那么API的访问通过CORS是起不到防护作用的,因为数据实际上已经被浏览器接受,只是在浏览器内部的方法无法获得数据而已。

理解CORS,就是理解限制是在跨域的服务器端

Spring Boot如何实现跨域访问呢?

Spring boot提供了一个注解@CrossOrigin,如果在@RequestMapping的接口上应用后,该接口就可以被跨域访问了。这里是跨域访问。

如果需要实现全局(所有的API)都可以跨域访问,通过编写一个配置类即可实现:

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

更多的信息,请参考官方资料

OPTIONS请求

基于安全考虑,浏览器可能会发起“需预检的请求”,它要求首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。

所以后端必须实现接口的OPTIONS的响应,响应头需要包括允许跨域访问的消息头。
在Spring Boot中,CORS请求(包括预请求OPTIONS)都交给已注册的不同请求处理器(RequestMapping)处理。CorsProcessor(其缺省实现DefaultCorsProcessor)处理了预请求和CORS请求的处理。因此,对于CORS的处理,只需要做简单的工作就可以搞定。
添加@CorsCross注解到特定的方法或者控制器类,这样该接口或者该类所有接口都具有类跨域访问功能。
如果希望添加全局的功能,那么添加一个配置类即可:

@Configuration
public class CORSConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedMethods("*")// 这个一定要调用
                        .allowedOrigins("*"); 
            }
        };
    }

}

需要注意的是,使用WebMvcConfigurer配置时,一定要调用allowedMethods方法,不然,DELETE,PUT方法就具有CORS功能,浏览器跨域访问时就会出现403错误。

为什么一定要调用allowedMethods,并使用*来代替呢?因为缺省配置只保护GET, HEAD和POST方法。具体请看下面的源码:

public CorsConfiguration applyPermitDefaultValues() {
    if (this.allowedOrigins == null) {
        this.addAllowedOrigin(ALL);
    }
    if (this.allowedMethods == null) {
        this.setAllowedMethods(Arrays.asList(
                HttpMethod.GET.name(), HttpMethod.HEAD.name(), HttpMethod.POST.name()));
    }
    if (this.allowedHeaders == null) {
        this.addAllowedHeader(ALL);
    }
    if (this.allowCredentials == null) {
        this.setAllowCredentials(true);
    }
    if (this.maxAge == null) {
        this.setMaxAge(1800L);
    }
    return this;
}

缺省只添加了GET, POST和HEAD方法,如果你刚好没有添加DELETE,PUT方法,那么CORS就会开始抱怨了。

参考:
HTTP访问控制(CORS)官方介绍
Spring RESTFull服务的CORS访问

yin138
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot项目 CORS设置
Miss M
04-30 1450
1.全局配置 这个类要和接口在同一个目录下 package com.example.tunnel; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.spring...
Spring Boot如何通过CORS处理跨域问题
08-19
Spring Boot中,配置CORS变得很简单,只需要在Controller方法上加一个注解@CrossOrigin(origins="你的请求地址")就好了。这样,在请求时,会携带CORS响应,告诉浏览器允许访问来自不同源的资源。 除了使用...
Spring Boot全局支持CORS(跨源请求)的配置方法
心有猛虎,细嗅蔷薇
08-17 1940
http://blog.csdn.net/zhangchao19890805/article/details/53893735 开发的时候,后端应用了 RESTful 风格的开发方式。同时使用了前后端完全分离的架构设计。这样的话就会碰到浏览器需要处理ajax请求跨源资源的问题。因为需要所有 Web API 都需要支持跨源资源共享(CORS),所以需要进行全局设置。  sprin
Spring (63)CORS,如何在Spring配置
qq_43012298的博客
06-17 700
CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种机制,它使用额外的HTTP来告诉浏览器让运行在一个origin(源)上的Web应用被准许访问来自不同源服务器上的指定资源。当一个资源从与该资源本身不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求。CORS机制主要是为了安全考虑,防止恶意网站读取另一个网站上的敏感数据。不过,网站可以声明愿意让其资源通过CORS被其他网站访问。
Spring Boot中的CORS配置
最新发布
微赚淘客系统开发者博客
07-03 246
随着前后端分离架构的流行,前端应用通常运行在一个不同的域或端口上,这就涉及到跨域资源共享(CORS)问题。通过本文,我们详细介绍了在Spring Boot应用中如何配置CORS以实现安全的跨域数据访问。合理配置CORS能够有效地保护应用的安全性,并允许前端应用与后端服务进行安全而有效的通信。为了验证CORS配置的功能,可以使用前端应用向后端发送跨域请求,并确保请求能够正常响应。让我们通过一个简单的Java代码示例,演示如何在Spring Boot应用中配置CORS。在上面的示例中,我们创建了一个。
SpringBoot 配置CORS
nainaiqiuwencun的博客
10-12 3875
前言:CORS相关介绍可以查看CORS ———— 跨域解决方案 ,这里记录下SpringBoot如何使用CORS解决跨域资源共享问题。以下使用的SpringBoot版本是 2.0.5.RELEASE。   一、介绍 Spring官方介绍,SpringMVC从4.2版本开始就支持CORS。在Spring中,使用@CrossOrigin注解,可以在controller方法中使用,而不要其他任何配...
SpringBoot配置cors
java scala
09-16 1679
先简单介绍一下CORS的背景 同源策略 跨域问题的产生是因为浏览器的同源策略。同源策略将协议+域名+端口构成的三元作为一个整体,只有三者均相同的情况下才属于一个源。跨域问题也就是不同源之间访问导致的问题。 同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。 跨域资源共享 CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRe
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot中,有两种常见的实现CORS方式: 1. **注解方式**:在Controller类或接口方法上使用`@CrossOrigin`注解,直接指定允许的源。例如: ```java @RestController public class HelloController { @...
cors-spring-boot-starter:CORS跨域与Spring Boot集成
04-30
CORSSpring Boot集成 使用方法 支持 Spring Boot 2 以上 添加依赖 compile group: "com.windhc", name: "cors-spring-boot-starter", version: "1.1.0" 配置 # 必选。启用cors,值是一个布尔值 cors.enabled= # 可...
Spring boot 总结之跨域处理cors的方法
08-28
本文将主要介绍 Spring Boot 中的 CORS 配置方法。 跨域问题描述 跨域问题是 Web 开发中经常遇到的问题。解决方案有 JSONP、iframe、CORS 等等。JSONP 只能实现 GET 请求,而 CORS 支持所有类型的 HTTP 请求。使用 ...
Spring Boot Web应用开发 CORS 跨域请求支持
08-30
Spring Boot Web应用开发 CORS 跨域请求支持 CORS(Cross-Origin Resource ...CORS 跨域请求支持是Spring Boot Web应用开发中非常重要的知识点,通过配置CORS,我们可以解决跨域问题,提高Web应用的安全性和可靠性。
SpringBoot配置Cors解决跨域请求问题
weixin_42571463的博客
12-28 393
一、同源策略简介 再此声明来源于:https://www.cnblogs.com/yuansc/p/9076604.html 这里供自己学习参考。 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 什么是源 源[origin]就是协议、域名和端口号。例如:http://www.baid...
Spring Boot 如何配置 CORS 支持
stormjun的博客
09-26 1745
CORS是一种网络安全机制,用于控制跨源HTTP请求的访问权限。在默认情况下,浏览器会禁止跨源请求,以防止潜在的安全风险。CORS通过在HTTP响应中添加特定的标来启用跨域请求,这些标指示浏览器允许请求来自不同源的资源。通过配置CORS支持,您可以明确指定哪些源可以访问您的应用程序的资源。通过简单的配置Spring Boot使CORS支持变得容易。通过明确指定允许的来源、方法和标,您可以确保您的应用程序能够安全地与其他域的资源进行交互。
Spring Boot如何配置CORS支持
u013749113的博客
10-08 1300
CORS(跨源资源共享)是一种安全性特性,用于控制浏览器是否允许Web页面中的JavaScript代码从不同的源加载其他网页资源。在默认情况下,浏览器不允许跨源请求,以防止跨站点请求伪造(CSRF)攻击。但在某些情况下,例如从前端应用程序向后端API发送HTTP请求时,需要解除跨源限制,这就需要CORS支持。在现代Web开发中,CORS(跨源资源共享)是一个重要的安全特性,用于控制跨域请求。Spring Boot提供了多种配置CORS策略方式,可以根据您的需求来选择。
Spring Boot3 跨域配置 Cors
xdpcxq1029的博客
01-19 1079
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
SpringBootSpringBoot配置CORS跨域和遇到的问题
热门推荐
sfh2018的博客
05-10 1万+
这里记录一次使用SpringBoot项目配置CORS跨域的写法和中间遇到的问题。 使用SpringBoot配置CORS跨域的方式有三种,下边分别介绍下。 一、方式一:使用@CrossOrigin注解 如果想要对某一接口配置 CORS,可以在方法上添加 @CrossOrigin 注解: @CrossOrigin(origins = {"http://localhost:8080", "null"}) @RequestMapping(value = "/test", method = RequestMethod
Spring BootCORS 支持
探索er的博客
04-02 1021
Springboot 跨域请求 (CORS 支持)
Spring Boot——跨域CORS
秋书一叶的博客
05-31 1964
当使用Spring Boot开发Web应用程序时,有时需要处理跨域请求。跨域请求是指在浏览器中,使用JavaScript从一个域(或者端口、协议)向另一个域(或者端口、协议)发起请求。默认情况下,浏览器会限制跨域请求,以确保安全性。
springboot CORS支持
虾米大王的学习历程
08-06 155
CORS(Cross-Origin Resource Sharing)是由W3C制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。在Java EE开发中,最常见的前端跨域请求解决方案是JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法。响应中有一个Access-Control-Allow-Origin字段,用来记录可以访问该资源的域。
spring boot cors 兼容ios 跨域问题
09-06
Spring Boot的跨域问题可以通过配置`CorsFilter`来解决,以允许iOS设备进行跨域请求。 在Spring Boot中,可以定义一个名为`CorsFilter`的过滤器来处理跨域请求。以下是一个示例配置: ```java @Configuration ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值