Spring解决跨域问题(@CrossOrigin)

最新推荐文章于 2025-09-17 22:40:40 发布
转载 最新推荐文章于 2025-09-17 22:40:40 发布 · 3.6k 阅读 · 5

本文介绍了跨域问题的基本概念及浏览器如何通过CORS机制处理跨域请求。具体讲解了Spring框架中@CrossOrigin注解的使用方法及其各项配置参数的意义,并通过一个示例展示了如何在Spring Boot应用中实现跨域请求。

一、关于跨域介绍

在前后分离的架构下,跨域问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表,图像和脚本等资源。

出于安全原因,浏览器限制从脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源,除非使用CORS头文件。

跨域的体现,在于它的域名不同或者端口不同,但要注意以下的形式为非跨域模式
http://www.example.com/index.html ==> http://www.example.com/login.html

二、Spring解决跨域问题(@CrossOrigin)

1、@CrossOrigin使用场景要求

  • jdk1.8+
  • Spring4.2+

2、@CrossOrigin源码解析(翻译参考网络,文末列出参考地址)

@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {

    String[] DEFAULT_ORIGINS = { "*" };

    String[] DEFAULT_ALLOWED_HEADERS = { "*" };

    boolean DEFAULT_ALLOW_CREDENTIALS = true;

    long DEFAULT_MAX_AGE = 1800;


    /**
     * 同origins属性一样
     */
    @AliasFor("origins")
    String[] value() default {};

    /**
     * 所有支持域的集合,例如"http://domain1.com"。
     * <p>这些值都显示在请求头中的Access-Control-Allow-Origin
     * "*"代表所有域的请求都支持
     * <p>如果没有定义,所有请求的域都支持
     * @see #value
     */
    @AliasFor("value")
    String[] origins() default {};

    /**
     * 允许请求头重的header,默认都支持
     */
    String[] allowedHeaders() default {};

    /**
     * 响应头中允许访问的header,默认为空
     */
    String[] exposedHeaders() default {};

    /**
     * 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
     * 默认支持RequestMapping中设置的方法
     */
    RequestMethod[] methods() default {};

    /**
     * 是否允许cookie随请求发送,使用时必须指定具体的域
     */
    String allowCredentials() default "";

    /**
     * 预请求的结果的有效期,默认30分钟
     */
    long maxAge() default -1;
}

3、@CrossOrigin的使用

/**
 * @Title: UserController
 * @ProjectName demo
 * @Description: 请求处理控制器
**/
@RestController
// 实现跨域注解
// origin="*":代表所有域名都可访问
// maxAge:简单来说就是Cookie的有效期,单位为秒
// 若maxAge是负数,则代表为临时Cookie,不会被持久化,Cookie信息保存在浏览器内存中,浏览器关闭Cookie就消失
@CrossOrigin(origins = "*", maxAge = 3600)
public class UserController {
    @Resource
    private IUserFind userFind;

    @GetMapping("/finduser")
    public User finduser(@RequestParam(value="id") Integer id){
        //此处省略相应代码
    }
}

正常调用:
这里写图片描述

前端跨域请求:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>demo</title>
        <script type="text/javascript" src="js/jquery-3.3.1.min.js" ></script>
    </head>
    <body>
        <input type="button" value="测试" onclick="ajaxloding()" />
        <div id="usermessage"></div>
        <script>
            var getdata=0;
            function ajaxloding(){
                $.ajax({
                    async:false,
                    type:"get",
                    url:"http://localhost:8080/api/finduser?id=1",
                    contentType: "application/x-www-form-urlencoded",
                    dataType: "json",
                    data: {},
                    success:function(result){
                        getdata=result.name
                    },
                    error: function (errorMsg) {
                        //请求失败时执行该函数
                        alert("请求数据失败!");
                    }
                });
                $("#usermessage").text(getdata)
            }
        </script>
    </body>
</html>

这样就解决了跨域问题,获取了后台的数据:
这里写图片描述

转载自《SpringBoot解决CORS跨域(@CrossOrigin)》

使用Spring解决问题的方法
TechNovaX的博客
10-08 161
问题是在前端开发中经常遇到的一个挑战,特别是当我们使用Ajax或其他方式与不同的服务器进行通信时。在本文中,我将详细介绍如何使用Spring框架来处理请求,并提供相应的源代码示例。通过创建CORS配置类,并在应用程序的主类上启用CORS支持,我们可以定义允许请求的规则。首先,我们需要创建一个CORS配置类,该类将定义允许请求的规则。在这个类中,我们可以指定允许的名、HTTP方法和请求头。在上面的示例中,我们允许来自"http://example.com"的所有请求(
@CrossOrigin注解解决问题
西敏寺的乐章的博客
04-14 1657
,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非)http://123.com/index.html 调用http://456.com/server.php (主名不同:123/456,
怎么解决问题
希望有一天
03-02 537
web浏览器问题详解前言什么是条件解决JSONP解决UML 图表FLowchart流程图导出与导入导出导入 前言 问题是web前端开发中遇到的最常见的问题,我相信大家都在日常工作中遇到过,也处理过,不过,很多开发者只是复制的处理方式,解决问题就行,也没有再去深入了。 就比如原来的我,每次遇到问题,都感觉如同第一次,迷糊的不行; 后来终于下定决心,仔细学习了问题处理...
spring微服务解决问题
陈家豪的博客
03-26 262
一、使用注解@CrossOrigin controller方法的CORS配置,您可以向@RequestMapping注解处理程序方法添加一个@CrossOrigin注解,以便启用CORS,放在类上对类下面所有方法生效,spring会整合类和方法上的参数。(默认情况下,@CrossOrigin允许在@RequestMapping注解中指定的所有源和HTTP方法): @RestController @CrossOrigin(origins = "http://domain2.com", maxAge = 36
@CrossOrigin的作用
最新发布
zwh1zwh的博客
09-17 989
这是一个由浏览器的同源策略引起的安全机制。​同源​:指的是两个页面的协议、名、端口三者完全相同。​​:只要协议、名、端口中有任何一个不同,就是。例如,你的前端应用跑在,而后端 API 部署在。虽然名都是localhost,但端口不同(3000 vs 8080),浏览器就会认为这是请求。出于安全考虑,浏览器默认会阻止这种请求发出的响应被前端 JavaScript 代码读取(尤其是带有认证信息的请求)。方面解释​是什么​。
注解@CrossOrigin解决问题
weixin_30668887的博客
06-11 2239
注解@CrossOrigin   出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。   源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不...
@CrossOriginSpring框架中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题
wangqiaowq的博客
04-30 842
Spring框架中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题。在Web应用开发中,出于安全原因,浏览器实施了同源策略(Same-origin policy),这一策略限制了从一个源加载的Web页面脚本与来自不同源的资源交互。当你在一个控制器类或具体处理方法上使用此注解时,Spring会自动在HTTP响应头中添加适当的CORS相关头部信息,如。)发送AJAX请求,浏览器会阻止这个请求,除非服务器端明确允许此类请求。
Spring @CrossOrigin 注解原理实现
08-18
Spring @CrossOrigin 注解是 Spring 框架中的一种注解,用于解决请求问题。在本文中,我们将详细介绍 Spring @CrossOrigin 注解的原理实现。 一、什么是请求? 请求是指从一个名下的页面请求另一个...
Spring学习笔记_50——@CrossOrigin
LuckyLay的博客
11-25 4638
CrossOriginSpring Framework中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题
SpringBoot加上注解@CrossOrigin启动报错的问题
weixin_43721056的博客
08-22 2152
写本文的目的是记录一下这个错误(降低版本也是可以解决这个问题的) @CrossOrigin注解是用来完成请求的。 在以前的版本中,通常是以下面这种写法来使用的,表示session也是可以支持请求的,多次请求都是用一个session。 @CrossOrigin(allowCredentials = "true", allowedHeaders = "*") 但是在最新的 2.5.2 版本中,使用这种方式运行项目会报错,报错信息如下: Error starting ApplicationContex
@CrossOrigin 解决资源共享(CORS)问题
q322359的博客
10-11 577
问题通常发生在当一个网页尝试通过 AJAX 请求访问与该网页不同源(协议、名或端口不同)的资源时。由于浏览器的同源策略限制,这种请求会被阻止。注解可以告诉 Spring 框架,允许来自不同源的请求访问特定的控制器方法或整个控制器。是一个 Spring 框架提供的注解,用于解决
SpringBoot 实现前后端分离的访问(Nginx)
MyDriverC
02-22 533
https://www.jianshu.com/p/520021853827 序言:使用Nginx反向代理,可以解决无权和Session丢失的问题,十分方便。下面我们以前后端分离为案例,展开Nginx的使用教程。 一. 配置和启动Nginx 下载地址 Nginx下载传送门:Nginx Stable Version Download 注意事项:下载之后,记得解压到全英文路径,避免中文路径导致Nginx启动失败。 修改配置 打开nginx.conf ,清空配置项,然后将下面的配置信息原封不
spring框架解决问题
qq_29660549的博客
05-15 2802
spring框架解决问题 1.为什么会发生产生问题? 因为浏览器为了安全(同源),本身就限制了。 当我们发送XMLHttpRequest请求的时候,如果请求的是别的(主机名、端口)不同时,那么就会产生问题(客户端无法获取服务端返回的数据) 如果不是XMLHttpRequest请求 2.解决方案 在对应的Controller中使用注解@CrossOrigin package ths....
spring处理问题
weixin_45317589的博客
10-22 381
直接引入请求配置到spring里面,比如 @Bean public WebMvcConfigurer webMvcConfigurer() { return new WebMvcConfigurer() { /** * 设置配置,当前默认为允许全部名,方法get/post/head,不限制header,允许session,有效时间30分 * @param registry 配置参数 */ @Override public void a
@CrossOrigin注解的作用其实就是解决问题
weixin_53242188的博客
04-08 2067
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理请求的注解 先来说一下什么是: (站在巨人的肩膀上) ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系,举个栗子: http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非
spring项目中解决问题
u014154836的博客
05-09 418
根据拦截器来实现设置响应头: package com.kyee.group.background.filter; import java.io.IOException; import javax.servlet.*; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServlet
Spring @CrossOrigin快速解决接口问题(包含Springboot方式)
纸上得来终觉浅,绝知此事要躬行
02-15 2966
出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或...
Spring CORS 使用与原理(@CrossOrigin注解,Java配置类方式,xml方式)
qq_45576664的博客
04-04 4785
出于安全原因,浏览器禁止AJAX调用当前源之外的资源。 资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以一种灵活的方式指定授权哪种请求,而不是使用一些不太安全、功能不太强大的hack(如IFrame或JSONP)Spring Framework 4.2 GA为CORS提供了一流的开箱即用支持,为我们提供了一种比典型的基于过滤器的解决方案更简单、更强大的配置方式。
Spring如何解决问题
weixin_58724261的博客
06-03 1265
同源指的是协议、主机名和端口号都相同,如果两个 URL 的这三个部分相同,则这两个 URL 属于同源。同源策略规定了同下的文档之间可以相互访问和获取资源,但是限制了文档之间相互访问和获取资源。即使是在不同的网页上,只要它们属于同一名下,它们就可以自由地进行数据交换,可以实现登录状态、cookie 等数据的共享。但是,如果是在不同的名下访问数据,就会发生“”,此时同源策略就会起作用。
springboot请求@CrossOrigin
07-09
### `@CrossOrigin` 注解在 Spring Boot 中的使用方法 在 Spring Boot 应用中,`@CrossOrigin` 是一个用于解决请求问题的注解。它允许指定哪些源可以访问特定的控制器方法或整个控制器类。该注解可以应用于方法级别或类级别,并提供多个参数以进行细粒度控制。 #### 基本语法 ```java @CrossOrigin(origins = "http://example.com", maxAge = 3600) @GetMapping("/getinfos") public ResponseEntity getInfos() { return ResponseEntity.ok(userService.getInfos()); } ``` - **origins**:指定允许访问的源(名、IP 地址等),例如 `"http://example.com"`。若设置为 `"*"`,则表示允许所有源访问[^2]。 - **maxAge**:预检请求(preflight request)的结果缓存时间(单位:秒)。默认值为 1800 秒(30 分钟),若设置为 3600,则浏览器会在一小时内不再发送预检请求[^4]。 - **allowedHeaders**:定义请求头中允许的字段,默认支持所有请求头。若需要限制某些字段,可显式声明,如 `{"Content-Type", "Authorization"}`。 - **exposedHeaders**:指定响应头中允许暴露给客户端的字段。默认为空,若需传递自定义头信息,应在此处声明。 - **methods**:指定允许的 HTTP 方法,例如 `{RequestMethod.GET, RequestMethod.POST}`。若未指定,则默认支持所有方法。 - **allowCredentials**:是否允许发送凭据(如 Cookie)。默认为 `true`,但若要启用此功能,必须明确指定具体的源,不能使用 `"*"`[^4]。 #### 在方法上使用 `@CrossOrigin` 可以在某个具体的请求处理方法上添加该注解,仅对该方法生效。例如: ```java @CrossOrigin(origins = "*", maxAge = 3600) @GetMapping("/getinfos") public ResponseEntity getInfos() { return ResponseEntity.ok(userService.getInfos()); } ``` 此配置表示 `/getinfos` 接口允许来自任意源的 GET 请求,并且预检请求的有效期为 1 小时[^2]。 #### 在类上使用 `@CrossOrigin` 如果某个控制器类下的所有方法都需要相同的策略,可以直接将注解加在类上: ```java @RestController @CrossOrigin(origins = "http://example.com", allowCredentials = "true") public class UserController { @GetMapping("/users") public List<User> getAllUsers() { return userService.findAll(); } @PostMapping("/users") public User createUser(@RequestBody User user) { return userService.save(user); } } ``` 以上代码表示 `UserController` 中的所有接口都只接受来自 `http://example.com` 的请求,并允许携带凭证[^3]。 #### 全局配置 CORS 尽管 `@CrossOrigin` 可以满足局部需求,但如果希望在整个应用中统一管理策略,可以通过实现 `WebMvcConfigurer` 接口来配置全局 CORS 规则: ```java @Configuration @EnableWebMvc public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE") .maxAge(3600) .allowCredentials(true); } } ``` 该配置表示所有路径为 `/api/**` 的接口都允许请求,支持常见的 HTTP 方法,并启用凭据共享[^1]。 #### 注意事项 - 当同时存在 `@CrossOrigin` 注解和全局 CORS 配置时,注解的优先级更高。 - 避免在生产环境中无条件地使用 `origins = "*"` 和 `allowCredentials = "true"`,因为这可能带来安全风险。应根据实际业务需求设定具体来源。 - 某些旧版本浏览器对 CORS 支持有限,特别是涉及复杂请求(如带有自定义头部的请求)时,需确保客户端环境兼容。 ### 相关问题 1. 如何在 Spring Boot 中配置全局 CORS 策略? 2. 使用 `@CrossOrigin` 注解时如何控制允许的请求头和响应头? 3. `@CrossOrigin` 注解是否支持 HTTPS 请求?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值