CorsRegistry 是 Spring MVC 中用于配置跨域资源共享(CORS)的核心类之一。通过 CorsRegistry,开发者可以全局配置允许的跨域请求来源、方法、头部等信息

于 2025-05-13 09:32:13 发布
阅读量784 收藏 5
点赞数 24
分类专栏: 安全 服务代理 java基础 文章标签: spring mvc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zp357252539/article/details/147916083
版权

org.springframework.web.servlet.config.annotation.CorsRegistry 是 Spring MVC 中用于配置跨域资源共享(CORS)的核心类之一。通过 CorsRegistry,开发者可以全局配置允许的跨域请求来源、方法、头部等信息。
在这里插入图片描述

以下是对 CorsRegistry 的常用配置项详解:

1. addMapping(String path)

  • 作用:指定需要启用 CORS 的 URL 路径。

  • 示例

    registry.addMapping("/api/**");

  • 说明:支持通配符 ** 匹配多级路径。

2. allowedOrigins(String... origins)

  • 作用:设置允许访问的来源(Origin),即请求头中的 Origin 字段值必须在该列表中。

  • 示例

    registry.allowedOrigins("https://example.com", "https://test.com");

  • 注意:不建议使用 allowedOrigins("*") 来允许所有来源,因为这会带来安全风险,特别是当 allowCredentials()true 时。

3. allowedOriginPatterns(String... patterns)

  • 作用:与 allowedOrigins 类似,但支持通配符模式匹配来源,如 "https://*.example.com"
  • 示例
    registry.allowedOriginPatterns("https://*.example.com");

4. allowedMethods(String... methods)

  • 作用:设置允许的 HTTP 方法(GET、POST 等)。

  • 示例

    registry.allowedMethods("GET", "POST");

  • 默认值:如果不设置,默认允许所有方法。

5. allowedHeaders(String... headers)

  • 作用:设置允许的请求头字段。

  • 示例

    registry.allowedHeaders("Content-Type", "Authorization");

  • 默认值:如果不设置,默认允许所有请求头。

6. exposedHeaders(String... headers)

  • 作用:设置哪些响应头可以暴露给客户端(浏览器)。
  • 示例
    registry.exposedHeaders("X-Custom-Header");

7. maxAge(long maxAge)

  • 作用:设置预检请求(preflight request)缓存时间(单位:秒)。

  • 示例

    registry.maxAge(3600); // 缓存1小时

  • 默认值:默认为 1800 秒(30 分钟)。

8. allowCredentials(boolean allow)

  • 作用:是否允许发送 Cookie 或认证信息(如 withCredentials)。

  • 示例

    registry.allowCredentials(true);

  • 注意:如果设置了 allowCredentials(true),则不能将 allowedOrigins 设置为 "*",否则会抛出异常。

✅ 配置总结表格

方法名参数类型作用描述
addMappingString指定需要启用 CORS 的 URL 路径
allowedOriginsString...设置允许的来源(Origin)
allowedOriginPatternsString...设置允许的来源模式(支持通配符)
allowedMethodsString...设置允许的 HTTP 方法
allowedHeadersString...设置允许的请求头
exposedHeadersString...设置可暴露的响应头
maxAgelong设置预检请求缓存时间(秒)
allowCredentialsboolean是否允许携带凭据(如 Cookie)

示例代码

@Configuration
@EnableWebMvc
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("https://example.com")
                .allowedMethods("GET", "POST")
                .allowedHeaders("Content-Type", "Authorization")
                .exposedHeaders("X-Custom-Header")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

如需更细粒度控制,也可以结合 @CrossOrigin 注解在 Controller 或方法级别进行局部配置。

SpringBoot笔记20】SpringBoot问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 2292
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息
资源共享 CORS 详解
09-02
资源共享CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
CORS资源共享():模拟请求以及结果分析,理解同源策略【享学Spring MVC
架构师:通透,才能写出好代码!
09-20 3552
前言 在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个名下面的资源,但是HTML5打破了这个限制,允许Ajax发起请求。浏览器是可以发起请求的,比如你可以外链一个外的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。主要原因还是出于安全考虑,浏览器会限制脚本中发起的请求(同源策略, 即JavaScript或Co...
Spring Boot处理请求(CORS)的完整指南
嗨,欢迎来到我的 CSDN 博客小天地!一名深耕多年的技术发烧友。在这里,我将把日常工作中积累的宝贵经验,从复杂架构设计的精妙之处,到代码优化的实战技巧,毫无保留地分享给大家。
04-19 931
Spring Boot处理请求(CORS)的完整指南
深入探讨请求CORS):原理、解决方案与详细示例代码
热门推荐
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
06-10 5万+
大家好!我是默语,一个喜欢探讨技术细节的博主。在这篇博客中,我们将深入探讨请求CORS),了解其原理,并提供具体的解决方案和详细的示例代码。问题是前后端分离架构中经常遇到的一个难题,通过本篇文章,你将学会如何优雅地解决它!🤓是指浏览器因安全限制,阻止一个的网页向另一个发起请求的一种行为。浏览器出于安全考虑,会默认阻止请求,但在实际开发中,我们常常需要进行访问。
SpringBoot报错合集 | 资源共享CORS | been blocked by CORS policy: No ‘Access-Control-Allow-Origin’
神马都会亿点点的毛毛张
10-20 1071
解决问题的主要方式有以下几种:使用 CORS:这是最标准、推荐的方法,适用于大多数场景。JSONP:仅用于GET请求,较为简单,但存在安全隐患。代理服务器:通过前端与代理服务器的交互避免直接。Nginx 反向代理:通过服务器配置代理请求,也是一种有效的解决方法
Spring MVC学习(11)的介绍以及使用CORS解决问题
终生学习践行者
06-07 2707
基于最新Spring 5.x,详细介绍了的概念,以及Spring项目中如何通过CORS方法来解决问题。
CORS 请求未能成功_Spring Boot 中通过 CORS 解决问题
weixin_39998795的博客
11-22 474
转自:江南一点雨今天和小伙伴们来聊一聊通过CORS解决问题。同源策略很多人对有一种误解,以为这是前端的事,和后端没关系,其实不是这样的,说到,就不得不说说浏览器的同源策略。同源策略是由Netscape提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指协议、名以及端口要相同。同源策略是基于安全方面的考虑提...
【全面指南】CORS与HTTP:资源共享的策略与实践(CORS & HTTP: Mastering the Art of Cross-Origin Resource Sharing)
欢迎来到我的技术空间!我是一名经验丰富的Java开发工程师,热衷于分享我在软件开发领域的知识和心得。在这个博客里,您会发现一系列关于Java编程的文章,包括最佳实践、技术趋势、代码优化技巧以及一些有趣的项目案例。无论是初学者还是有经验的开发者,都能在这里找
08-15 939
本文深入探讨了资源共享(CORS)的核心概念及其与HTTP基础知识的紧密结合。从HTTP请求方法和标头讲起,逐步介绍了CORS的工作原理、HTTP请求与响应标头的作用,以及如何在Java环境中配置CORS。此外,文章还提供了安全策略建议、最佳实践和常见问题解答,帮助开发者构建更加安全、高效的Web应用程序。
Gin CORS 请求资源共享与中间件
淘小欣的博客
01-10 1687
同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现浏览器最基本的安全策略浏览器只能接收相同(IP地址+端口)返回的数据CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。
[SpringBoot+Ajax]资源共享CORS前后端分离简单演示样例.rar
11-30
本示例将通过一个简单的SpringBoot和Ajax的集成应用,展示如何配置CORS以实现请求。 **一、SpringBoot与Ajax** 1. **SpringBoot**:是基于Spring框架的快速开发工具,简化了配置,提供了自动配置、内嵌Web...
spring MVC cors实现源码解析
08-31
Spring MVC CORS资源共享)实现...通过阅读和理解这些关键点,开发者可以更好地控制和调试Spring MVC中的CORS行为,确保请求按预期工作。同时,了解源码也有助于定制自己的CORS过滤器,满足特定场景的需求。
服务支持请求配置
08-08
在现代Web开发中,资源共享(Cross-Origin Resource Sharing,简称CORS)是一项非常重要的技术。它允许浏览器安全地执行源HTTP请求,从而使得不同源之间的数据交互成为可能。下面将详细介绍如何通过配置实现...
@Component 注解:Spring 组件扫描与管理的基石
常回来看看呀!!
05-12 702
Component注解是 Spring 框架实现组件化开发的核心机制之一。它通过将类标记为组件,使得 Spring 容器能够对其进行管理,并通过依赖注入为其他组件提供所需的服务。从简单的工具类到复杂的业务逻辑和数据访问组件,@Component注解在实际项目中无处不在,为构建松耦合、可维护、可测试的 Spring 应用奠定了坚实的基础。深入理解和熟练运用@Component注解及其相关概念,对于 Spring 开发者来说是至关重要的。
SpringBoot统一功能处理
2301_80363309的博客
05-09 668
preHandle()⽅法:⽬标⽅法执⾏前执⾏. 返回true: 继续执⾏后续操作;afterCompletion()⽅法:视图渲染完毕后执⾏,最后执⾏(后端开发现在⼏乎不涉及视图, 暂不了。这个⽅法以及 afterCompletion() ⽅法,执⾏完毕之后,最终给浏览器响应数据.添加拦截器后, 执⾏Controller的⽅法之前, 请求会先被拦截器拦截住. 执⾏。⽅法. 如果返回false,则不会放⾏(controller中的⽅法也不会执⾏).postHandle()⽅法:⽬标⽅法执⾏后执⾏。
基于SpringBoot的博客系统测试报告
最新发布
weixin_74889808的博客
05-12 693
1.登录模块:登录时用Session获取用户表,在获取用户id来使后端将用户信息存储在Session中,在登录时通过获取用户对应的账号以及密码进行校验,如果都匹配则给予token令牌放行,登录通过,如果校验失败则需要重新输入登录信息,再次进行登录校验。总之,按照脑图的规划,可以将测试用例按照页面进行分组,结合测试套件和公共属性类,以及单独存储启动和现场截图的类,来进行测试用例的编写和组织。本报告为博客系统测试报告,本项目模拟了csdn,实现了包括了用户登录,发布博客文章,查看博客等功能。
Spring MVC Session 属性 (@SessionAttributes) 是什么?如何使用它共享数据?
专注于技术分享
05-09 1251
Spring MVC 为简化特定场景(如多步骤表单)中的会话数据管理而提供的便捷机制,通过将模型属性自动在请求和会话之间同步来实现。是一个类级别的注解,用于表示 Spring MVC 将 Controller 中的属性存储到 HTTP Session 中,以便在同一用户会话的后续请求中可以访问这些属性。提供了一种与 Spring MVC 的模型和请求处理机制更紧密集成的方式来管理会话范围的数据,特别是与。但在某些场景下,我们需要在同一个用户的多个连续请求之间共享数据,最典型的例子就是。
四、SpringMVC实战:构建高效表述层框架
lzping_719的专栏
05-12 500
Spring Web MVC是基于Servlet API构建的原始Web框架,从一开始就包含在Spring Framework中。正式名称“Spring Web MVC”来自其源模块的名称(),但它通常被称为“Spring MVC”。在控制层框架历经Strust、WebWork、Strust2等诸多产品的历代更迭之后,目前业界普遍选择了SpringMVC作为Java EE项目表述层开发的首选方案。Spring 家族原生产品,与IOC容器等基础设施无缝对接表述层各细分领需要解决的问题全方位覆盖,提供。
SpringBoot中使用MQTT实现消息的订阅
qq_39636932的博客
05-09 403
创建消费者客户端配置类MqttConsumerConfig,读取application.yml中的相关配置,并初始化创建MQTT的连接。打开浏览器,输入地址http://localhost:18083/,在EMQX管理界面可以看到连接上来的两个客户端。接下来,创建Controller控制器MqttController,并实现MQTT连接的建立和断开等方法。修改application.yml配置文件,增加MQTT相关配置。5 创建Controller控制器,实现MQTT连接的建立和断开。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱的叹息

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值