别用 Filter 了,试试 Spring 自带的方式处理 CORS 跨域问题

最新推荐文章于 2024-05-28 09:55:30 发布
最新推荐文章于 2024-05-28 09:55:30 发布
阅读量4.9k 收藏 13
点赞数 4
分类专栏: 重学 Spring 文章标签: spring mvc cors 跨域 cross origin
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzuhkp/article/details/120631687
版权

从 CORS 到 Spring MVC

跨源资源共享(CORS) 即 Cross-Origin Resource Sharing,也常被译为跨域资源共享。作为 W3C 的标准,它允许浏览器向跨源服务器发起请求,克服了 AJAX 只能同源使用的限制。

CORS 需要浏览器和服务器同时支持,浏览器发起跨域请求时会自动携带一些请求头,服务器如果允许跨域,也会自动添加一些响应头。作为运行在服务端的 Spring MVC 也对 CORS 提供了支持,并提供了多种解决方案。

认识 CORS,从浏览器同源策略谈起

同源策略是 Netscape 公司在 1995 年引入浏览器的,目前所有浏览器都遵循了同源策略。

浏览器同源策略

同源表示两个网页的 协议域名端口号 三者都一致。同源策略最初的目的是为了保护 A 网页设置的 cookie 在 B 网页中不能读取。

设想如果用户同时打开了银行网站和钓鱼网站,如果没有同源策略,钓鱼网站拿到银行网站的 cookie 后发起转账或者读取用户敏感信息,将会很危险。

非同源的网页,对 Cookie、LocalStorage、IndexDB 读取、Dom 文档获取、Ajax 请求有着严格的限制。同源策略规定了只能向同源的网址发起 AJAX 请求。CORS 正是解决跨域 AJAX 的标准方案,相比使用 JSONP 方案来说更为灵活。

CORS 处理流程

浏览器的请求可以分为简单请求和非简单请求两种。浏览器对不同类型的请求进行 CORS 处理的方式有所不同。

简单请求

满足下面三个条件的请求可以被称为简单请求。

  1. 请求方法为 GETHEADPOST 之一。
  2. 允许设置的请求头包括 AcceptAccept-LanguageContent-LanguageContent-Type
  3. Content-Type 的值仅限于 text/plainmultipart/form-dataapplication/x-www-form-urlencoded

简单请求流程如下图所示。
在这里插入图片描述
浏览器发起请求时在请求头添加 Origin 字段,表示当前资源所在的源,服务端收到请求后检查该字段,如果允许该请求则在响应头添加Access-Control-Allow-Origin 字段,否则可以拒绝处理请求并返回错误的 HTTP 响应码,浏览器收到响应后发现没有 Access-Control-Allow-Origin 字段或者 Access-Control-Allow-Origin 字段值有误则会在控制台打印不允许跨域的错误信息。

非简单请求

对于非简单请求,浏览器首先会发起预请求 Preflight Request 检查是否允许跨域,如果允许跨域才会执行真正的请求,流程如下所示。
在这里插入图片描述
预请求的 HTTP 方法为 OPTIONS,携带的请求头如下:

  • Origin:表示资源所在的源。
  • Access-Control-Request-Method:表示真实 HTTP 请求方法的请求头。
  • Access-Control-Request-Headers:表示真实 HTTP 请求方法自定义的请求头 。

如果服务端允许跨域请求,会在响应头添加如下的字段:

  • Access-Control-Allow-Origin :表示跨域请求允许的源,* 表示允许任何源。
  • Access-Control-Request-Method:表示跨域请求允许使用的请求方法,可以比请求头中的多。
  • Access-Control-Request-Headers:表示跨域请求允许携带的请求头。

如果服务端不允许跨域请求,则可以直接返回表示错误的 HTTP 响应码。

浏览器收到预请求响应后检查响应头判断是否允许跨域,如果不允许跨域则直接在控制台打印跨域报错信息。如果允许跨域再正常发起请求,携带请求头 OriginAccess-Control-Request-MethodAccess-Control-Request-Headers 以及自定义的请求头。

携带用户身份的跨域请求

服务端检查跨域请求后,除了返回基本的响应头,还可以添加如下额外的响应头:

  • Access-Control-Max-Age:表示跨域检查结果在浏览器中可以缓存的秒数。
  • Access-Control-Expose-Headers:默认情况 JS 只能获取一些基本的响应头,这个字段允许 JS 可以获取除基本响应头的其他响应头。

除此之外,服务端还可以返回值为 true 的响应头 Access-Control-Allow-Credentials,这个响应头可以让浏览器在跨域请求时携带 Cookie 信息,当然了,需要在发起请求时配置 withCredentials=true
在这里插入图片描述如果服务端返回了响应头 Access-Control-Allow-Credentials,此时 Access-Control-Allow-Origin 不能返回 *,否则请求将会失败。

Spring MVC CORS 处理

由于每个接口都需要处理跨域请求,因此在传统的 Java Web 项目中通常使用 Filter 进行全局处理。

Spring MVC 中进行跨域处理的核心类是 HandlerMapping,当请求到达 DispatchServlet,如果请求是预请求 Spring 会将处理器替换为跨域处理器,如果请求是非预请求 Spring 将在拦截器链前面添加跨域拦截器,然后根据 CORS 配置进行相应的处理。再把 DispatcherServlet 流程图祭出,和 CORS 相关的部分可以见右上角。
在这里插入图片描述

CorsFilter

Filter 是解决跨域的传统方式,Spring 出现前,我们经常会写一个解决跨域的 Filter,当请求到来时向响应头中添加固定的字段。

Spring MVC 提供了一个具有相同功能的 CorsFilter,这样以后我们就不需要每个项目都单独写一个处理跨域的 Filter 了。Spring MVC 中配置 Filter 的方式可以参见【Spring MVC 系列】Spring MVC 中 Filter 配置的 6 种方式,看看你了解哪些

SpringBoot 环境下配置 CorsFilter 示例如下。

@Configuration
public class WebMvcConfig {

    @Bean
    public Filter corsFilter() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("http://hukp.cn");
        corsConfiguration.addAllowedMethod(HttpMethod.POST);
        corsConfiguration.addAllowedHeader("token");
        corsConfiguration.setExposedHeaders(Arrays.asList("header1", "header2"));
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
        corsConfigurationSource.registerCorsConfiguration("/*", corsConfiguration);
        CorsFilter corsFilter = new CorsFilter(corsConfigurationSource);
        return corsFilter;
    }

}

实例化 CorsFilter 时需要指定一个 CorsConfigurationSource 实例用来获取跨域配置 CorsConfiguration,常用的实现是 UrlBasedCorsConfigurationSource

全局 CORS 配置

Spring MVC 官方解决 CORS 的做法是在 HandlerMappping 获取处理器链时根据是否为预请求使用 PreFlightHandler 作为处理器或者添加拦截器 CorsInterceptor,具体可以参见源码AbstractHandlerMapping#getCorsHandlerExecutionChain

对于用户而言,只需要进行 CORS 配置就可以了,而配置分为全局配置和局部配置,Spring 会把这两个配置进行合并。对于全局配置而言有 API 和 XML 两种配置方式。

XML 配置

XML 配置是 Spring 早期提供的支持,和上述 CorsFilter 等价的 CORS 配置如下。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc https://www.springframework.org/schema/mvc/spring-mvc.xsd">
    <mvc:cors>
        <mvc:mapping path="/*"
                     allowed-origins="http://hukp.com"
                     allowed-methods="POST"
                     allowed-headers="token"
                     exposed-headers="header1, header2"
                     max-age="3600"
                     allow-credentials="true"
        />
    </mvc:cors>
</beans>

API 配置

当前注解已经成为 Spring 的主流使用方式,使用 @EnableWebMvc 开启 Web 相关特性后可以通过实现接口 WebMvcConfiger 进行跨域配置,最终这个配置将传递到 AbstractHandlerMapping。和 XML 等价的 API 配置方式如下。

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*")
                .allowedOrigins("http://hukp.cn")
                .allowedMethods("POST")
                .allowedHeaders("token")
                .exposedHeaders("header1", "header2")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

局部 CORS 配置

除了全局配置,Spring 还可以针对每个处理器做特殊的配置。

API 配置

如果想用一个处理器类处理一个请求,这个处理器类可以实现接口 HttpRequestHandlerController 或者 HandlerFunction,如果想要为这个处理器进行 CORS 处理,还需要实现接口 CorsConfigurationSource。以登录场景为例,示例代码如下。

public class LoginHandler implements Controller, CorsConfigurationSource {
    @Override
    public ModelAndView handleRequest(HttpServletRequest request, HttpServletResponse response) throws Exception {
        // 省略相关逻辑
        return new ModelAndView();
    }

    // 获取 CORS 配置
    @Override
    public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("http://hukp.cn");
        corsConfiguration.addAllowedMethod(HttpMethod.POST);
        corsConfiguration.addAllowedHeader("token");
        corsConfiguration.setExposedHeaders(Arrays.asList("header1", "header2"));
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }
}

注解配置

Spring 添加对注解的支持后,我们使用 @Controller 标注控制器类,然后在类中使用 @RequestMapping 标注处理器方法。针对这种方式,由于请求由方法进行处理,我们没办法实现 CorsConfigurationSource 做跨域配置,但是 Spring 也提供了对应的解决方案。

我们可以使用 @CrossOrigin 注解做跨域配置,可以把这个类加在控制器类或者控制器方法上,控制器类上的 @CrossOrigin 适用于所有的控制器方法,控制器方法上的 @CrossOrigin 适用于自身,如果类和方法上都有 @CrossOrigin 注解,Spring 则会将配置合并。

示例代码如下。

@Controller
@CrossOrigin(origins = "http://hukp.cn",
        allowedHeaders = "token")
public class LoginController {

    @CrossOrigin(methods = RequestMethod.POST,
            exposedHeaders = {"header1", "header2"},
            maxAge = 3600L,
            allowCredentials = "true")
    @PostMapping("/login")
    public ModelAndView login(HttpServletRequest request) {
        // 省略业务逻辑
        return new ModelAndView();
    }
}

当请求 /login 到达时,将使用类和方法上合并后的 CORS 配置。

Spring Security CORS 处理

Spring Boot 环境下如果引入了 Spring Security,Spring 将自动配置 CorsFilter,此时从CorsConfigurationSource 类型的 bean 中读取 CORS 配置,因此将 CorsConfigurationSource 配置为 bean 即可。示例代码如下。

@Configuration
public class WebMvcConfig {

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("http://hukp.cn");
        corsConfiguration.addAllowedMethod(HttpMethod.POST);
        corsConfiguration.addAllowedHeader("token");
        corsConfiguration.setExposedHeaders(Arrays.asList("header1", "header2"));
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
        corsConfigurationSource.registerCorsConfiguration("/*", corsConfiguration);
        return corsConfigurationSource;
    }
}

总结

这篇主要对 CORS 规范进行了简单的介绍,并全面的介绍了 Spring MVC 中进行 CORS 配置的几种方式,希望大家在学习技术的时候也尝试了解其背后的内容,做到知其然,也要知其所以然。如果有问题,欢迎留言。

大鹏cool
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Boot3 跨域配置 Cors
xdpcxq1029的博客
01-19 1000
CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
SpringBoot Cors配置+原理分析(corsfilter
z69183787的专栏
06-24 3778
(951条消息) 跨域的那些事 - CorsWebFilter 跨域源码分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS 跨域(前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot跨域设置(CORS)_骑个小蜗牛的博客
CORS Filter: 跨域资源共享的完美解决方案
最新发布
gitblog_00020的博客
05-28 380
CORS Filter: 跨域资源共享的完美解决方案 项目地址:https://gitcode.com/eBay/cors-filter 项目介绍 [CORS Filter](https)是一个由eBay开发的Java Servlet Filter实现,专为在如Apache Tomcat这样的Java Web容器中处理跨源资源分享(CORS)而设计。它提供了简单易用且安全的CORS支持,只需在你的...
CORS跨域资源共享(三):@CrossOrigin/CorsFilter处理跨域请求示例及原理分析【享学Spring MVC
架构师:通透,才能写出好代码!
09-24 4702
通过前[两篇文章](https://fangshixiang.blog.csdn.net/article/details/101036506)做好了的铺垫和讲述,现在的你应该了解了`CORS`是怎么回事以及`Spring MVC`对它是如何支持的,我有理由相信你现在完全是有能力去解决`CORS`跨域请求问题,而不用再是两眼一抹黑了。 正所谓好人做到底,送佛送到西,小伙伴一直最为关心`Spring MVC`对`CORS`的落地实操示例我还没有给出,当然还有它的处理流程原理分析,那么本文就是你最应该关注和收藏的
新版 springboot-前后端分离-跨域设置的五种方法以及遇到的坑
醉瑾_的博客
03-31 1796
用到的版本: springboot 2.6.5 security 5.6.2 spring framework 5.3.17 1 注解 @CrossOrigin (局部) 用在需要跨域的controller接口上或用在某个方法之上 eg: @CrossOrigin(origins = "http://xxx.com", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController {
跨域系】为何配置了corsFilter还是出现跨域问题
run_boy_2022的博客
04-20 2105
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter处理的。为了本地容易测试这个跨域问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,跨域问题应该就可以解决了,但是当我访问的时候还是会出现跨域的问题。虽然添加了跨域的配置,这里我的控制台竟然是跨域的问题。
一个简单的 CORS Filter 实现
chenggong657676的专栏
01-24 631
在这个实现中: 1、支持配置接收请求的域,配置为 “*” 接受所有域。 2、允许建立基于 cookie 的 session。 3、允许传递自定义的 HTTP 头。 4、正确处理预检请求。 package web.filter; import java.io.IOException...
详解Spring MVC CORS 跨域
08-30
CORS 跨域是 Web 开发中一个非常重要的概念,Spring MVC 提供了多种方式来实现 CORS 跨域,包括使用 `@CrossOrigin` 注解和配置文件。通过使用 CORS 跨域,我们可以实现不同域名下的资源共享,提高 Web 应用程序的...
cors-filter-1.7.jar spring解决跨域问题 java
04-20
本篇将详细讲解如何利用Spring解决跨域问题,以及如何使用`cors-filter-1.7.jar`和`java-property-utils-1.9.1.jar`这两个库来辅助实现。 一、Spring解决跨域问题的基本原理 1. CORS定义:跨域是指浏览器遵循同源...
spring MVC cors跨域实现源码解析
08-31
Spring MVC CORS跨域资源共享)实现源码解析 跨域资源共享(CORS)是一种机制,允许Web应用程序在浏览器中向不同源(域名、协议或端口)发送Ajax请求。根据W3C规范,如果请求的源与服务器资源的源不一致,就被...
spring cloud实现前端跨域问题的解决方案
08-28
在前后端分离的架构中,当我们需要将 Spring Boot 以 RESTful 接口的方式对外提供服务时,跨域问题就会出现。那么,如何来解决跨域的问题呢?下面我们将介绍三种解决方案。 解决方案一:使用 @CrossOrigin 注解 在...
详解springboot设置cors跨域请求的两种方式
08-26
Spring Boot 设置 CORS 跨域请求的两种方式 Spring Boot 作为一个流行的 Java Web 框架,如何设置 CORS 跨域请求是一个非常重要的问题。CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种机制,它允许 ...
ssm解决跨域问题
eRunn
09-21 381
CorsFilter.class public class CorsFilter implements Filter { @Override public void destroy() { } @Override public void doFilter(ServletRequest servletRequest, ServletRespon...
springboot解决跨域问题
u012477420的博客
11-30 1252
跨域问题是指浏览器从一个域名访问另一个域名的资源时,协议、地址、端口任何一个不同,则认为是跨域,此时无法向跨域地址发送ajax请求(浏览器会拒绝该请求)。 首先基于springboot演示下跨域问题,本段应用的端口为8101, 在前端页面访问另一个项目端口为8401的地址: <!DOCTYPE html> <html lang="en" xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://...
SpringBoot 处理 CORS 跨域请求的三种方法
weixin_44792849的博客
05-19 730
Springboot 处理CORS跨域请求
使用CORS解决跨域问题
熊诗言的博客
02-21 3249
后端接口和前端分离的时候,很多情况下会遇到跨域问题。这是浏览器的同源策略导致的,同源策略是为了Web安全提出的,说的是两个不同源的网址默认是不能请求对方的接口的。不同源包含:协议(http|https)、ip/域名、端口之一不同就是不同源。不同源的网页请求接口都要遵循浏览器的同源策略。 解决跨域问题有两种方案,都需要服务端支持才可以。 一种是JSON...
SpringMVC开启CORS支持
z69183787的专栏
11-09 5394
前言 浏览器出于安全考虑,限制了JS发起跨站请求,使用XHR对象发起请求必须遵循同源策略(SOP:Same Origin Policy),跨站请求会被浏览器阻止,这对开发者来说是很痛苦的一件事,尤其是要开发前后端分离的应用时。 在现代化的Web开发中,不同网络环境下的资源数据共享越来越普遍,同源策略可以说是在一定程度上限制了Web API的发展。 简单的说,CORS就是为了AJAX能够安全跨
CORS filter解决ajax跨越问题解决及源码分析
热门推荐
隔壁老瓦的专栏
06-07 1万+
&lt;!--CORS 跨域资源访问--&gt; &lt;filter&gt; &lt;filter-name&gt;CORS&lt;/filter-name&gt; &lt;filter-class&gt;com.thetransactioncompany.cors.CORSFilter&lt;/filter-class&gt; &lt;init...
如何使用Spring Security解决CORS跨域问题
05-19
Spring Security提供了一种解决CORS跨域问题的方法,即使用CorsFilterCorsFilter是一个Servlet过滤器,可以在处理请求之前拦截请求并添加CORS头信息。 要使用CorsFilter,需要在Spring Security配置中添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // ... http.addFilterBefore(corsFilter(), ChannelProcessingFilter.class); } @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); // 允许所有域名跨域访问 config.addAllowedMethod("*"); // 允许所有请求方法 config.addAllowedHeader("*"); // 允许所有请求头 source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 在上面的代码中,我们创建了一个CorsFilter的Bean,并将其添加到Spring Security的Filter chain中。在CorsFilter的配置中,我们允许所有的请求来源、请求方法和请求头。 此外,我们还需要在前端发送请求时添加CORS头信息。例如,在使用axios发送请求时,可以添加以下配置: ```javascript axios.defaults.headers.common['Access-Control-Allow-Origin'] = '*'; ``` 通过以上配置,就可以解决CORS跨域问题了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大鹏cool

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值