Spring MVC 实现 CORS 跨域

最新推荐文章于 2024-05-26 16:17:38 发布
最新推荐文章于 2024-05-26 16:17:38 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: 跨域-Cors

https://www.jianshu.com/p/9203e9b14465

 

前言:众所周知,出于安全考虑,XMLHttpReqeust 对象发起的 HTTP 请求必须满足同源策略(same-origin policy)的规定,否则浏览器将会对该请求进行限制。虽然同源策略的实现带来的Web安全的提升,但是却为一些正规的跨域需求带来不便,故此衍生出了若干种绕开同源策略的跨域方案,其中 JSONP 就是使用的比较多的方案,但 JSONP 是一个非官方的跨域协议同时也只支持 GET 请求,而后来 W3C 推出 CORS 协议相比 JSONP 支持更多的方法也允许使用普通 XMLHttpRequest 发送请求,所以我们有理由使用更加现代的跨域方案。关于 CORS 的详细内容可以阅读文章HTTP访问控制(CORS)

下面我将介绍如何在 Spring MVC 中实现 CORS 跨域方案,但由于 Spring MVC 在 4.2 版本中才开始原生支持CORS ,故我将介绍两种实现方法,一种是借助 Servlet Filter 实现,而另一种则是直接使用 Spring MVC 的 @CrossOrigin 注解实现。

使用Servlet Filter 实现 CORS

​ CORS 跨域协议的实现是通过使用一组 HTTP 首部字段实现的,其核心是服务端返回响应中的 Access-Control-Allow-Origin 首部字段,这个字段来声明服务端允许来自哪些源的请求访问该资源,浏览器可以根据这个响应首部字段来判断是否可以放行跨域请求。因此要实现 CORS ,我们可以在项目中声明一个 Filter 过滤器为响应加上需要的 Access-Control-Allow-*首部。

  1. 首先创建一个实现 javax.servlet.Filter 接口的过滤器

    package com.ken.localserver.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class CORSFilter implements Filter{

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("work");
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

  2. 然后在 web.xml 文件中配置该过滤器

    <!-- CORS Filter -->
<filter>
    <filter-name>CORSFilter</filter-name>
    <filter-class>com.ken.localserver.filter.CORSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CORSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

到这里,就可以简单的实现 CORS 跨域请求了,上面的过滤器将会为所有请求的响应加上Access-Control-Allow-*首部,换言之就是允许来自任意源的请求来访问该服务器上的资源。而在实际开发中可以根据需要开放跨域请求权限以及控制响应头部等等。

使用 Spring MVC 的 @CrossOrigin 注解实现 CORS 跨域

​ Spring Framework 从 4.2 版本中开始原生支持 CORS,相比上面的需要配置 Filter 过滤器的实现方式,使用原生的 @CrossOrigin 注解的实现方式来得更加简单。

​ 要启用 Spring MVC 的 CORS 支持十分简单,只需要添加一个@CrossOrigin注解即可,根据添加注解位置可以控制配置的细粒度,如:允许这个Controller 还是特定的方法

  • 在方法上使用 @CrossOrigin 注解

    @RestController
@RequestMapping("/account")
public class AccountController {

  @CrossOrigin
  @GetMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
      // ...
  }

  @DeleteMapping("/{id}")
  public void remove(@PathVariable Long id) {
      // ...
  }
}

    上例中将允许对retrieve()方法的跨域访问。默认情况下, @CrossOrigin 注解将允许来自任意的源站以及任意 HTTP 请求方法的请求访问。

  • 在Controller 上使用 @CrossOrigin 注解

    @CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @GetMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
      // ...
  }

  @DeleteMapping("/{id}")
  public void remove(@PathVariable Long id) {
      // ...
  }
}

    @CrossOrigin 注解声明在Controller 时,将允许对 Controller 下得所有方法得跨域请求。另外,如果不满足与 @CrossOrigin 注解得默认属性,我们可以自定义配置 CORS 属性。

  • 同时在 Controller 和方法上使用 @CrossOrigin 注解

    @CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @CrossOrigin(origins = "http://domain2.com")
  @GetMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
      // ...
  }

  @DeleteMapping("/{id}")
  public void remove(@PathVariable Long id) {
      // ...
  }
}

    如果同时在 Controller 和方法上都有使用@CrossOrigin 注解,那么在具体某个方法上的 CORS 属性将是两个注解属性合并的结果,如果属性的设置发生冲突,那么Controller 上的主机属性将被覆盖。

  • 全局 CORS 配置

    在某些情况,我们并不需要针对不同的URL来配置不同 CORS 属性,那么我们可以通过一个全局的 CORS 配置来避免单独注解配置的麻烦。

    • 基于 JavaConfig

      @Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

      在以及 Java 配置的配置方式中,我们只需要简单加入以上的代码就可以配置全局的 CORS。默认情况下,将允许来自任意源站以及任意 HTTP 请求方法的请求访问。

      @Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://domain2.com")
                .allowedMethods("PUT", "DELETE")
                .allowedHeaders("header1", "header2", "header3")
                .exposedHeaders("header1", "header2")
                .allowCredentials(false).maxAge(3600);
    }
}

      同时,我们也可以根据自己的需要 CORS 的相关属性进行配置,配置的方式如上面的代码所示。

  • 基于 XML 配置文件

    <mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

    基于 XML 配置文件的配置方式也是十分简单,只需要 Spring 的Context 配置文件中加入上面的 <mvc:cors> 即可。同样的,默认情况下将允许来自任意源站以及任意 HTTP 请求方法的请求访问。

    <mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>

    另外,也可以通过上面的方式来自定义 CORS 属性。

Reference

 

OkidoGreen
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringMVC 4.3的跨域请求配置
韦观松のBóKè
06-19 1393
Spring MVC 4支持跨域请求配置功能,可以通过简单的配置允许服务资源被跨域请求。1、跨域请求数据跨域请求数据在controller的方法上使用注解@CrossOrigin(origins = "*", maxAge = 3600, methods={RequestMethod.POST,RequestMethod.GET})注:methods必须配置,在使用4.3版本时,不配置method...
SpringMVC CORS 解决跨域问题
菜园子丶For丨丶Tomorrow的博客
05-18 517
1、补充知识同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。所谓同源是指,域名,协议,端口相同。 目前主流的跨域访问技术有JSONP和CORS,JSONP的优势在于能够支持较老版本的浏览器,弱势在于只能处理GET的请求,而CORS的优势在于能处理所有类型的请求,但弱势在于不能处理IE8以下版本的...
spring MVC cors跨域实现源码解析
weixin_34040079的博客
02-08 353
spring MVC cors跨域实现源码解析 名词解释:跨域资源共享(Cross-Origin Resource Sharing) 简单说就是只要协议、IP、http方法任意一个不同就是跨域spring MVC自4.2开始添加了跨域的支持。 跨域具体的定义请移步mozilla查看 使用案例 spring mvc跨域使用有3种方式: 在web.xml中配置CorsFilter <f...
SpringMVC源码解读之CORS跨域原理
m0_64509386的博客
09-26 114
在*处,会进行一次判断,如果此请求已经是跨域请求,或者是非简单请求的预检请求,都会执行该语句的内容。​ 在某个版本之前,跨域拦截的生成顺序是在所有拦截器的后面,此时就会存在配置好跨域,但由于设置了其他拦截器,比如做了一个登录拦截,拦截掉所有没有携带token的请求,此时就会导致跨域失败。由于登录拦截是在跨域拦截器的前面,跨域的预检无法通过登录拦截,走不到跨域拦截器中进行跨域请求头的设置,导致了后续跨域请求的失败。语句,在这行中,将会获取此次请求的拦截器链,并将该请求对应的处理器和拦截器链包装在一起。
SpringMvc CORS-跨域处理
最新发布
存在,即合理
05-26 593
同源"指的是"三个相同":同源策略的目的:是为了保证用户信息的安全,防止恶意的网站窃取数据。限制:如果非同源,共有三种行为受到限制。工作原理是添加新的HTTP headers来让服务器描述哪些源的请求可以访问该资源,对于可能对服务器造成不好影响的请求,规范规定浏览器需要先发送“预检”请求(也就是OPTION请求),在预检请求通过后再发送实际的请求,服务器还可以通知客户端是否应该随请求发送“凭据”(例如 Cookie 和 HTTP 身份验证)。Request HeaderResonse Header支持的源,
SpringMVC CORS跨域解决方案 2021-9-20
qq_21438267的博客
09-20 873
SpringMVC 应用开发 1 基础概念介绍 2 返回值处理 3 参数绑定处理 4 RequestMapping注解 5 RESTful支持 6 拦截器应用 7 CORS跨域解决方案 8 Mock测试(模拟测试) 9 ControllerAdvice 10 乱码解决 11 非注解开发方式 CORS跨域解决方案SpringMVC 应用开发一、 什么是跨域二、 如何解决跨域三、 使用CORS跨域3.1 什么是CORS3.2 客户端跨域处理 (了解)3.2.1 对于简单请求3.2.2 非简单请求请求信息3.3
Spring boot解决CORS跨域)请求(基于spring MVC 4.0以上版本)。
初学程序员
05-09 1万+
一、前言   昨天晚上临近下班之前,公司前端同事突然跟我说,他从前端发送的请求,方法变成了OPTIONS,我看到他的代码里明明也写着的是POST请求,可是为什么会变成了OPTIONS请求,而且返回的http状态码也是200,但是没有任何数据的返回,这就表明请求根本没有进入到方法中就被拦截返回了。这究竟是哪里出现了错误呢?二、原因探究    经过早上不懈的查找资料,在以下这篇博文中找到了原因:htt...
Spring MVCCORS跨域的详细介绍
08-30
Spring MVCCORS 跨域的详细介绍 本文对 Spring MVCCORS 跨域的详细介绍,包括 CORS 的知识点和如何在 Spring MVC 中配置 CORSCORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源...
详解Spring MVC CORS 跨域
08-30
CORS 跨域是 Web 开发中一个非常重要的概念,Spring MVC 提供了多种方式来实现 CORS 跨域,包括使用 `@CrossOrigin` 注解和配置文件。通过使用 CORS 跨域,我们可以实现不同域名下的资源共享,提高 Web 应用程序的...
spring4.3 实现跨域CORS的方法
08-28
Spring 4.3 框架中,实现跨域 CORS 需要在 Controller 中添加 @CrossOrigin 注解,并在 Spring MVC 配置文件中添加 CORS 配置。 首先,在 Controller 中添加 @CrossOrigin 注解,以允许跨域请求。例如: ```java...
Spring Boot 通过CORS实现跨域问题
09-07
2. **全局配置**:在Spring MVC的配置类中重写`addCorsMappings`方法,实现全局的CORS配置。例如: ```java @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { ...
SpringMVC4 跨域 配置
u013803262的专栏
02-11 9096
SpringMVC4 跨域 配置
Spring完美解决跨域问题
热门推荐
zjq852533445的博客
03-08 2万+
一、 Spring MVC 从4.2版本开始增加了对CORS的支持在Spring MVC 中增加CORS支持非常简单,可以配置全局的规则&lt;mvc:cors&gt; &lt;mvc:mapping path="/**" allowed-origins="*" allow-credentials="true" max-age="1800" allowed-meth...
mvccors(跨域)的学习
qq_33554740的博客
03-02 2080
参考看路径http://blog.csdn.net/u012562943/article/details/53141991就是设置允许哪些请求域来访问资源跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域...
Spring MVC 4.2 增加 CORS 支持
dawuafang
01-03 547
Spring MVC 4.2 增加 CORS 支持 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo...
SpringMVC cors配置
q826qq1878的博客
07-27 8264
目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分2种 网上资料很多。我这里简单概述一下 1、简单请求:平常get、post(表单提交) 啥头信息都不加的情况 就是...
前后端分离之spring跨域Cors解决方案,aop加mvc:cors
qq_34814794的博客
09-04 2605
前后端分离之spring跨域Cors解决方案,aop加mvc:cors 目录 跨域需求的来源 前后端分离 spring的拦截器 mvccors aop 总结 跨域需求由来 因为浏览器的同源限制策略,现如今很多项目采用前后端分离开发部署。导致前端从服务端获取数 据时收到阻碍,因此跨域请求数据就尤为重要。恰好java的spring提供了很友好很简单的服务端...
使用SpringMVC为例子解决跨域 cors
wuyou_1997的博客
11-22 223
解决跨域的方案 jsonp 方式 垃圾中的战斗机 nginx 代理方式 Java服务端允许跨域 推荐方式 什么情况下会出现跨域问题 不是同一个域名          列:baidu.com、alibaba.com 是同一个域名但是不同端口     列:baidu.com:9...
spring mvc 设置跨域请求
03-23
Spring MVC中设置跨域请求可以通过以下步骤实现: 1. 添加CORS配置类:创建一个类,例如`CorsConfig`,并使用`@Configuration`注解标记。在该类中,可以使用`addMapping`方法来配置允许跨域请求的路径、允许的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值