JSONP 太 low,Spring Boot实现CORS跨域

最新推荐文章于 2023-05-31 16:06:01 发布
原创 最新推荐文章于 2023-05-31 16:06:01 发布 · 701 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringBoot #CORS #跨域 #架构 #Java

本文深入讲解了跨域资源共享(CORS)的概念,演示了如何在SpringBoot中通过多种方式配置CORS,包括单个接口、Controller级别及全局配置,以解决跨域请求问题。

一、跨域相关概念简介

1、同源策略[same origin policy]:

它是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源, 同源策略是浏览器安全的基石。同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。

这里为了方便大伙清晰地理解同源策略的概念,截取百度百科的简介:

  • 同源策略,它是由Netscape提出的一个著名的安全策略
  • 现在所有支持JavaScript 的浏览器都会使用这个策略。
  • 所谓同源是指,域名,协议,端口均相同。
  • 当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
  • 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。
  • 如果非同源,那么在请求数据时,浏览器会在控制台中报一个异常,提示拒绝访问。
  • 同源策略是浏览器的行为,是为了保护本地数据不被JavaScript代码获取回来的数据污染,因此拦截的是客户端发出的请求回来的数据接收,即请求发送了,服务器响应了,但是无法被浏览器接收。

2、JSONP:

我们在实际开发时,或多或少也会经常遇到跨域的需求,而传统的跨域方案一般采用JSONP,但是JSONP只支持get请求,不支持post、put、delete等其他请求,有局限性,并且现在提供 RESTful 风格的API,除了 get 请求,put、post、delete也会经常使用,而 JSONP 只支持 get请求,这在 RESTful 应用中就略显吃力了。

3、CORS:

因此,我们这里引进一个CORS(跨域资源共享)的概念:CORS,全称Cross-Origin Resource Sharing  ,它是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制,通常由于同域安全策略(the same-origin security policy)浏览器会禁止这种跨域请求。

CORS是一个W3C标准,是一份浏览器技术的规范,提供了web服务从不同网域传来沙盒脚本的方法,它允许浏览器向跨域服务器发送Ajax请求,打破了Ajax只能访问本站内的资源限制,从而避开浏览器的同源策略,这是JSONP模式的现代版。

在传统的Spring框架中,有提供了CORS的解决方案,这里只介绍SpringBoot中实现CORS跨域的配置方案。

二、SpringBoot实现CORS示例

1、搭建SpringBoot应用

使用开发工具IDEA或Eclipse等,分别新建两个SpringBoot项目:

  • 应用一名称:springboot-cors1
  • 应用二名称:springboot-cors2

我使用的是2.1.7.RELEASE版本 ,添加相关依赖即可:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

2、配置应用端口

两个应用,分别在application.properties中配置不同的端口:

  • server.port=8081

  • server.port=8082

3、提供HTTP接口方法

在springboot-cors1 应用 新增一个控制器类,并提供一个get请求方法:

@RestController
public class IndexController {

    @GetMapping("/test")
    public String corsTest(){
        return "hello,CORS !";
    }

}

4、新增测试

在 springboot-cors2 新增一个index.html ,提供一个按钮,发送get请求跳转访问 应用一 springboot-cors1 

分别启动两个应用,访问 localhost:8082 ,点击get按钮,从而8082跨域请求8081接口,由于同源安全策略,请求被限制,打开浏览器调试模式,看到控制台报错如下:

5、添加CORS配置

5.1 对单个接口方法配置CORS

在springboot-cors1 的IndexController中corsTest()方法上增加注解,允许来自http://localhost/8082的应用请求该接口方法,如下:

重启springboot-cors1,再次访问应用二: localhost:8082 ,点击get按钮,这次便会成功跨域请求到应用一的接口内容:

点进 CrossOrigin 注解,可以看到该注解也可以放在类上,即应用于该类下的所有接口方法,都允许被跨域请求配置中的URL

5.2 对某个Controller下的所有接口方法配置CORS

配置在类上,就不用每个接口方法都设置:

但是,这样还是不够方便,假如我有很多接口需要允许跨域请求,岂不是每个controller类上都要配置该注解。

5.3 配置全局的CORS

方法(1)添加配置类:

package com.stwen.cors.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @description: cors过滤器配置
 * @author: stwen_gan
 * @date: 2019/08/08
 **/
@Configuration
public class CorsFilterConfig {
    @Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        //若要允许被所有网域请求,可以配置*
        corsConfiguration.addAllowedOrigin("http://localhost:8082");
        corsConfiguration.addAllowedHeader("*");
        //允许跨域请求的方法类型:GET、POST、PUT、DELETE 等
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

}

方法(2)添加配置类:

新建一个WebMvcConfig配置类 ,继承WebMvcConfigurerAdapter (SpringBoot 1.x 版本),并重写addCorsMappings方法。

package com.stwen.cors.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * @description:
 * @author: stwen_gan
 * @date: 2019/08/08
 **/
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                //允许跨域请求的方法类型:GET、POST、PUT、DELETE 等
                .allowedMethods("*")
                //若要允许被所有网域请求,可以配置*
                .allowedOrigins("http://localhost:8082")
                .allowedHeaders("*");
        super.addCorsMappings(registry);
    }
}

【推荐】如果是 Springboot2.0 以上,已经抛弃WebMvcConfigurerAdapter ,建议使用WebMvcConfigurationSupport,如下:

package com.stwen.cors.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

/**
 * @description:
 * @author: stwen_gan
 * @date: 2019/08/08
 **/
@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                //若要允许被所有网域请求,可以配置*
                .allowedOrigins("http://localhost:8082")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                //预检请求--最大时间
                .maxAge(3600)
                .allowedHeaders("*");
        super.addCorsMappings(registry);
    }

}

配置的详细信息说明如下:

  • addMapping:配置可以被跨域的路径,可以任意配置,可以具体到直接请求路径。
  • allowedMethods:允许什么请求方法类型,可以访问该跨域资源服务器,如:POST、GET、PUT、DELETE等。
  • allowedOrigins:允许什么请求域名访问我们的跨域资源,可以固定单条或者多条内容,如:“http://localhost:8082”,只有该域名可以访问我们的跨域资源。若要允许被所有网域请求,可以配置* 。
  • allowedHeaders:允许什么的请求header访问,可以自定义设置任意请求头信息。
  • maxAge:预检请求--最大时间。

方法(3)使用Filter方法:

需要在启动类加上@ServletComponentScan注解

@WebFilter(urlPatterns = "*")
public class CorsFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest)request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        httpResponse.setCharacterEncoding("UTF-8");
        httpResponse.setContentType("application/json; charset=utf-8");
        httpResponse.setHeader("Access-Control-Allow-Origin", "*");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Allow-Methods", "*");
        httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type,Authorization");
        httpResponse.setHeader("Access-Control-Expose-Headers", "*");
        filterChain.doFilter(httpRequest, httpResponse);
    }

    @Override
    public void destroy() {

    }
}

6、PUT跨域请求

CORS也有一些限制,两种模型可以实现:

(1)简单模型

支持get/post/put/delete请求,例如返回Access-Control-Allow-Origin:*,但是不允许自定义header且会忽略cookies,且post数据格式有限制,只支持‘text/plain','application/x-www-urlencoded'and'multipart/form-data',其中’text/plain'默认支持,后面两种需要下面的预检请求和服务器协商。

(2)协商模型/预检请求(Preflighted Request)

举例:浏览器发出PUT请求,OPTION请求返回Access-Control-Allow-Origin:*,Access-Control-Allow-Methods:’PUT’,服务器同意所有域的PUT请求,浏览器收到并继续发出真正的PUT请求,服务器响应并再次返回Access-Control-Allow-Origin:*,允许浏览器的脚本执行服务器返回的数据。

在springboot-cors2 的index.html 增加一个put请求按钮:

在springboot-cors1 增加put接口方法:

分别启动两个应用,测试访问:localhost:8082

第一次跨域请求时,会先预检,先看第一个test2,预检请求是否支持,在maxAge 时间内,不用再次发起预检:

第二个,真正发起请求,获取响应

需要源码的,请下方评论,看到会发你。

本文来自:优快云  作者:stwen_gan  https://blog.youkuaiyun.com/a1036645146/article/details/98843846

转载请注明出处,谢谢。

参考:

https://mp.weixin.qq.com/s/GcMuJ23WVvo2s_6LSgR4fA

https://blog.youkuaiyun.com/lizc_lizc/article/details/81155895

https://blog.youkuaiyun.com/yft_android/article/details/80307672

https://baike.baidu.com/item/CORS/16411212

 

九、Spring Boot 优雅的实现CORSjava异步请求原理
m0_64867896的博客
12-13 1909
接下来我们来学习下在springboot 项目中怎么实现支持。 @CrossOrigin 注解 ============================================================================== 这种方法是springboot 自带的,使用比较简单,在需要支持的的接口上加上这个注解就可以了。 比如在我们项目的demo 接口加上注解.就表示这个接口支持,其中origins = “*” 表示所有的地址都可以访问这个接口,也可以写具...
Spring Boot Web应用开发 CORS 请求支持
08-30
Spring Boot Web应用开发 CORS 请求支持 CORS(Cross-Origin Resource Sharing,资源共享)是一种机制,它允许Web页面从不同的名下加载资源,而不受同源策略的限制。 在Spring Boot Web应用开发中,CORS ...
Spring Boot中通过CORS解决问题
江南一点雨的专栏
03-14 4211
今天和小伙伴们来聊一聊通过CORS解决问题。 同源策略 很多人对有一种误解,以为这是前端的事,和后端没关系,其实不是这样的,说到,就不得不说说浏览器的同源策略。 同源策略是由Netscape提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指协议、名以及端口要相同。同源策略是基于安全方面的考虑提出来的,这...
springboot中通过cors协议解决问题
meepoGuan的博客
07-03 1547
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的下,那么势必会引起问题的出现。 针对问题,我们可能第一个想到的解决方案就是jsonp,并且以前处理问题我基本也是这么处理。 但是jsonp方式也同样有不足,不管是对于前端还是后端来说,写法与我们平常的ajax写法不同,同样后端也需要作出相应的更改。并且,jsonp方式只能通过get请求方式来传递参数,当然也还有其它的...
SpringBoot设置(CORS
热门推荐
骑个小蜗牛的博客
03-23 4万+
目录什么是资源共享(CORS)1. 简单请求2. 非简单请求SpringBoot设置CORS1. 配置过滤器CorsFilter2. 实现接口WebMvcConfigurer3. 使用注解@CrossOrigin 什么是 请求url的协议、名、端口三者有任意一个不同即为问题是因为浏览器的同源策略的限制而产生的。 同源:请求url的协议、名、端口三者都相同即为同源(同一个)。 同源策略:同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全
Spring Boot——CORS
秋书一叶的博客
05-31 3036
当使用Spring Boot开发Web应用程序时,有时需要处理请求。请求是指在浏览器中,使用JavaScript从一个(或者端口、协议)向另一个(或者端口、协议)发起请求。默认情况下,浏览器会限制请求,以确保安全性。
Spring boot 总结之处理cors的方法
08-28
Spring Boot 处理 CORS 的方法 Spring Boot 是一个基于 Java 的框架,用于快速构建生产级别的应用程序。然而,在构建前后端分离的项目时,我们经常会遇到问题。问题是指当我们的页面和接口在不同名下...
Spring Boot如何通过CORS处理问题
08-19
Spring Boot如何通过CORS处理问题 Spring Boot是一个基于Java的框架,为了解决问题,Spring Boot提供了CORS(Cross-origin-resource sharing)机制来解决问题。问题是由于浏览器的同源策略所致,...
Spring Boot和Vue请求问题原理解析
08-25
Spring Boot中,我们可以通过重写WebMvcConfigurationSupport的方法addCorsMapping来实现CORS。例如: ```java @Configuration public class WebMvcConfig extends WebMvcConfigurationSupport { @Override ...
你可能不知道的CORS资源共享
10-17
通过这种方式,开发者可以精确控制哪些源可以访问服务器资源,从而在保证安全的同时实现数据交换。 总结来说,CORS是现代Web开发中解决问题的重要手段,它提供了一种安全可控的方式来打破同源策略的限制,...
Spring Boot 使用 CORS 解决请求问题
养歌的博客
01-10 2668
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的下,那么势必会引起问题的出现。 那什么是呢? 指的是从一个名去请求另外一个名的资源。即名请求,时,浏览器不能执行其他名网站的脚本,是由浏览器的 “同源策略” 造成的,是浏览器施加的安全限制。的严格一点来说就是只要协议,名,端口有任何一个的不同,就被当作是。 下面举个例子: 判断下面 URL 是否和 http://www.baidu.com/a/a.html 同源 http://www.baidu.com/
springboot使用cors解决问题
zzybbh的博客
06-25 376
springboot使用cors解决问题 首先我们了解一下问题是如何产生的。 由于同源策略(Same Orgin Policy)是一种约定,它是浏览器核心也最基本的安全功能,它会阻止一个的js脚本和另外一个的内容进行交互,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。。所谓同源(即在同一个)就是两个页面具有相同的协议(protocol)、主机(host)和端口号(port)。 非同源会出现的限制 无法读取非同源网页的cookie、localstorage等 无法接触非同源网页的D
SpringBoot解决CORS
Muscleheng的博客
12-20 824
前言 CORS(Cross-Origin Resource Sharing)"资源共享",是一个W3C标准,它允许浏览器向服务器发送Ajax请求,打破了Ajax只能访问本站内的资源限制,CORS在很多地方都有被使用,开放Ajax访问可被访问的服务器大大减少了后台开发的工作,前后台工作也可以得到很好的明确以及分工,下面我们就看讲一下如何让你的SpringBoot项目支持CORS。 ...
SpringBoot的几种解决方案
wr_java的博客
03-29 327
方法一、SpringBoot的注解@CrossOrigin(也支持SpringMVC) 使用注解作用到具体controller或者method上面(局部) 简单粗暴的方式,Controller层在需要的类或者方法上加上该注解即可 @RestController @CrossOrigin @RequestMapping("/situation") public class SituationController extends PublicUtilController { @Auto
springboot基于CORS处理问题
足迹人生的博客
01-07 487
springboot基于CORS处理问题
springboot系列文章之实现请求(CORS)
pjmike的博客
09-06 2142
CORS介绍 资源共享向来都是热门的需求,我们可以使用 CORS 来快速实现 访问,只需要在服务端进行授权即可,无需在前端添加额外的设置 简单说,CORS是一种访问机制,英文全称: Cross-Origin Resource Sharing,即我们说的资源共享。当一个资源从与该资源本身所在服务器不同的或端口请求一个资源时,资源会发起一个HTTP请求。比如,在一个名下的网页中...
spring boot 解决cors 的问题
hgdzw的博客
07-08 382
spring boot 的启动类里面注入一个 cors 的 bean @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); final CorsConfiguration config = new CorsConfiguration(); conf
springbootCORS处理
知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)
10-21 311
架构师必须懂,高级程序员要学习
springboot+cors处理
醉鱼的博客
01-24 625
项目中遇到问题你们怎么处理的呢,这里提供cors作为参考 ,项目使用springboot,具体逻辑就不说了,很简单,搜索一下就懂了,这里直接上代码吧 package com.cui.boot.config; import org.springframework.context.annotation.Bean; import org.springframework.context.anno...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值