SpringBoot 实现前后端分离的跨域访问(CORS)

最新推荐文章于 2024-06-06 16:59:59 发布
最新推荐文章于 2024-06-06 16:59:59 发布
阅读量334 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java
原文链接:https://mp.weixin.qq.com/s/o8qLfwJNID68ugJglfu5wA
本文深入解析CORS(跨域资源共享)的工作原理,涵盖请求与响应头详细信息,提供四种实现跨域访问的方法,包括全局与局部配置,并通过实例演示如何测试跨域访问的成功与失败。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、基本介绍

简单来说,CORS是一种访问机制,英文全称是Cross-Origin Resource Sharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin 即可。

1. CORS工作原理

CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个”预检”请求,待服务器批准后才能真正发起跨域访问请求。
在这里插入图片描述
根据官方文档 W3C规范-CORS 的描述,目前CORS使用了如下头部信息:

注:请求头信息由浏览器检测到跨域自动添加,无需过多干预,重点放在Response headers,它可以帮助我们在服务器进行跨域授权,例如允许哪些原始域可放行,是否需要携带Cookie信息等。

2. Request Headers(请求头)
  • Origin
  • 表示跨域请求的原始域。
  • Access-Control-Request-Method
  • 表示跨域请求的方式。(如GET/POST)
  • Access-Control-Request-Headers
  • 表示跨域请求的请求头信息。
3. Response headers(响应头 )
  • Access-Control-Allow-Origin
  • 表示允许哪些原始域进行跨域访问。(字符数组)
  • Access-Control-Allow-Credentials
  • 表示是否允许客户端获取用户凭据。(布尔类型)
    使用场景:例如现在从浏览器发起跨域请求,并且要附带Cookie信息给服务器。则必须具备两个条件:1. 浏览器端:发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。 2.服务器端:设置Access-Control-Allow-Credentials为true。两个条件缺一不可,否则即使服务器同意发送Cookie,浏览器也无法获取。正确姿势如下:
    在这里插入图片描述
  • Access-Control-Allow-Methods
  • 表示跨域请求的方式的允许范围。(例如只授权GET/POST)
  • Access-Control-Allow-Headers
  • 表示跨域请求的头部的允许范围。
  • Access-Control-Expose-Headers
  • 表示暴露哪些头部信息,并提供给客户端。(因为基于安全考虑,如果没有设置额外的暴露,跨域的通信对象XMLHttpRequest只能获取标准的头部信息)
  • Access-Control-Max-Age
  • 表示预检请求 [Preflight Request] 的最大缓存时间。

二、CORS实现跨域访问

授权方式

  • 方式1:返回新的CorsFilter
  • 方式2:重写WebMvcConfigurer
  • 方式3:使用注解(@CrossOrigin)
  • 方式4:手工设置响应头(HttpServletResponse )

注:CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持,对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过,使用SpringMVC4.2 以下版本的小伙伴也不用慌,直接使用方式4通过手工添加响应头来授权CORS跨域访问也是可以的。附:在SpringBoot 1.2.8 + SpringMVC 4.1.9 亲测成功。

注:方式1和方式2属于全局CORS配置,方式3和方式4属于局部CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则,所以可以通过@CrossOrigin注解来进行细粒度更高的跨域资源控制。

1. 返回新的CorsFilter(全局跨域)

在任意配置类,返回一个新的CorsFilter Bean,并添加映射路径和具体的CORS配置信息。

@Configuration
public class GlobalCorsConfig {
	@Bean
	public CorsFilter corsFilter() {
		//1.添加CORS配置信息
		CorsConfiguration config = new CorsConfiguration();
		//放行哪些原始域
		config.addAllowedOrigin("*");
		//是否发送Cookie信息
		config.setAllowCredentials(true);
		//放行哪些原始域(请求方式)
		config.addAllowedMethod("*");
		//放行哪些原始域(头部信息)
		config.addAllowedHeader("*");
		//暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
		config.addExposedHeader("*");
		//2.添加映射路径
		UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
		configSource.registerCorsConfiguration("/**", config);
		//3.返回新的CorsFilter.
		return new CorsFilter(configSource);
	}
}
2. 重写WebMvcConfigurer(全局跨域)

在任意配置类,返回一个新的WebMvcConfigurer Bean,并重写其提供的跨域请求处理的接口,目的是添加映射路径和具体的CORS配置信息。

@Configuration
public class GlobalCorsConfig {
	@Bean
	public WebMvcConfigurer corsConfigurer() {
		return new WebMvcConfigurer() {
			@Override
			//重写父类提供的跨域请求处理的接口
			public void addCorsMappings(CorsRegistry registry) {
				//添加映射路径
				registry.addMapping("/**")
				//放行哪些原始域
				.allowedOrigins("*")
				//是否发送Cookie信息
				.allowCredentials(true)
				//放行哪些原始域(请求方式)
				.allowedMethods("GET","POST", "PUT", "DELETE")
				//放行哪些原始域(头部信息)
				.allowedHeaders("*")
				//暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
				.exposedHeaders("Header1", "Header2");
			}
		};
	}
}
3. 使用注解(局部跨域)

在方法上(@RequestMapping)使用注解 @CrossOrigin :

@RequestMapping("/hello")
@ResponseBody
@CrossOrigin("http://localhost:8080")
public String index( ){
	return "Hello World";
}

或者在控制器(@Controller)上使用注解 @CrossOrigin :

@Controller
@CrossOrigin(origins = "http://xx-domain.com", maxAge = 3600)
public class AccountController {
	@RequestMapping("/hello")
	@ResponseBody
	public String index( ){
		return "Hello World";
	}
}
4. 手工设置响应头(局部跨域 )

使用HttpServletResponse对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里Origin的值也可以设置为”*” ,表示全部放行。

@RequestMapping("/hello")
@ResponseBody
public String index(HttpServletResponse response){
	response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");
	return "Hello World";
}

三、测试跨域访问

首先使用 Spring Initializr 快速构建一个Maven工程,什么都不用改,在static目录下,添加一个页面:index.html 来模拟跨域访问。目标地址: http://localhost:8090/hello

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8"/>
<title>Page Index</title>
</head>
<body>
<h2>前台系统</h2>
<p id="info"></p>
</body>
<script src="webjars/jquery/3.2.1/jquery.js"></script>
<script>
	$.ajax({
		url: 'http://localhost:8090/hello',
		type: "POST",
		success: function (data) {
			$("#info").html("跨域访问成功:"+data);
		},
		error: function (data) {
			$("#info").html("跨域失败!!");
		}
	})
</script>
</html>

然后创建另一个工程,在Root Package添加Config目录并创建配置类来开启全局CORS。

@Configuration
public class GlobalCorsConfig {
	@Bean
	public WebMvcConfigurer corsConfigurer() {
		return new WebMvcConfigurer() {
			@Override
			public void addCorsMappings(CorsRegistry registry) {
				registry.addMapping("/**");
			}
		};
	}
}

接着,简单编写一个Rest接口 ,并指定应用端口为8090。

@SpringBootApplication
@RestController
public class YyWebApplication {
	@Bean
	public TomcatServletWebServerFactory tomcat() {
		TomcatServletWebServerFactory tomcatFactory = new TomcatServletWebServerFactory();
		tomcatFactory.setPort(8090); //默认启动8090端口
		return tomcatFactory;
	}
	
	@RequestMapping("/hello")
	public String index() {
		return "Hello World";
	}
	
	public static void main(String[] args) {
		SpringApplication.run(YyWebApplication.class, args);
	}
}

最后分别启动两个应用,然后在浏览器访问:http://localhost:8080/index.html ,可以正常接收JSON数据,说明跨域访问成功!!
在这里插入图片描述
尝试把全局CORS关闭,或者没有单独在方法或类上授权跨域,再次访问:http://localhost:8080/index.html 时会看到跨域请求失败!!
在这里插入图片描述

SpringBoot教程】SpringBoot 实现前后端分离访问CORS
sandy_3118的博客
12-07 1593
简单来说,CORS是一种访问机制,英文全称是Cross-Origin Resource Sharing,即我们常说的资源共享,通过在服务器端设置响应头,把发起的原始域名添加到Access-Control-Allow-Origin 即可。
SpringBoot 实现前后端分离访问(Nginx)
xudasong123的博客
10-31 3039
序言:使用Nginx反向代理,可以解决无权和Session丢失的问题,十分方便。下面我们以前后端分离为案例,展开Nginx的使用教程。 一. 配置和启动Nginx 下载地址 Nginx下载传送门:Nginx Stable Version Download 注意事项:下载之后,记得解压到全英文路径,避免中文路径导致Nginx启动失败。 修改配置 打开nginx.conf ,清空配置项...
SpringBoot+Vue前后端分离实现请求api问题
08-19
主要介绍了SpringBoot+Vue前后端分离实现请求api问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
HTTP研究
iverson2010112228的专栏
09-11 247
CORS(Cross-origin resource sharing) “资源共享” 在出现CORS标准之前, 我们还只能通过jsonp(jsonp请求详解)的形式去向“源”服务器去发送 XMLHttpRequest 请求,这种方式吃力不讨好,在请求方与接收方都需要做处理,而且请求的方式仅仅局限于GET。所以 ,CORS标准必然是大势所趋,并且市场上绝大多数浏览器都已经支持CO...
SpringBoot前后端分离解决问题的三种解决方案
扎哇太枣糕的笔记博客
03-24 5698
SpringBoot解决问题的三种方法
springboot前后端分离案例,问题及解决办法
qq_60555957的博客
09-23 443
springboot前后端分离案例,问题及解决办法
SpringBoot + VUE2 前后端分离项目 [开发环境]/[生产环境] 请求发生问题的处理
最新发布
qq_44929168的博客
06-06 1981
在你当前的场景中,假设你希望去掉/api前缀,并且正确转发请求路径,你应该使用带有斜杠的proxy_pass。
SpringBoot实现前后端分离访问CORS
01-27
SpringBoot实现前后端分离访问CORS)】 CORS,即Cross-Origin Resource Sharing,资源共享,是一种允许浏览器从不同源加载资源的机制。在前后端分离的架构中,由于前端和后端可能部署在不同的域名下...
vue+springboot前后端分离实现单点登录问题解决方法
08-28
Vue+SpringBoot前后端分离实现单点登录问题解决方法 单点登录概述 单点登录(Single Sign-On,SSO)是指用户只需登录一次,即可访问所有相关的应用系统,而不需要在每个系统中重复登录。这种机制可以提高用户...
SpringBoot解决请求问题 - 配置Cors
Z2Min_
04-23 436
报错: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 就是说问题。 HTTP访问控制(CORS) 1.使用@CrossOrigin注解 如果想要对某一接口配置 CORS,可以在方法上添加 @CrossOrigin 注解 : @CrossOrigin(origins = {"http:...
Springboot前后端分离项目配置实现过程解析
08-18
主要介绍了Springboot前后端分离项目配置实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot前后端分离,请求
qq_29072049的博客
08-12 194
在前段ajax里加入 xhrFields:{withCredentials:true}, 后端的代码中加入 @CrossOrigin(origins = {"*"},allowCredentials = "true")
springboot 前后端分离 问题
deoppressoliber的博客
11-25 203
springboot配置 方式一 在需要的controller前面加 @CrossOrigin(origins="*") 方式二 package com.cupshe.bus.boss.common.constants; import org.springframework.context.annotation.Bean; import org.springframework...
SpringBoot解决前后端分离问题
StuLoveQ的博客
02-09 239
概念 同源策略-Same origin policy 指浏览器同源策略,同源即协议+域名+端口三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 当前页面url与被请求页面url同源才可访问(htttp://www.xxx.com/),不同源(https: //www.xxxb.com:8080)即为 ## SpringBoot解决前后端分离项目 ...
springboot前后端分离解决
haoxiaoyong1014的博客
12-07 479
不多说直接上代码,,,,,,,,,@Configurationpublic class WebMvcConfig extends WebMvcConfigurerAdapter {    @Override public void addCorsMappings(CorsRegistry registry) {        registry.addMapping("/**").allowedHe...
SpringBoot前后端分离问题
疯狂的菜鸡
06-20 378
前后端分离的项目中可能存在前端项目的访问端口和后端项目不一致的情况, 这个时候需要我们修改端口为一致的 在前后端分离的项目中, 前端项目因为测试的需要会有自己的内部数据数据用于测试验证方案的可行性, 但如果将前后端结合时, 我们的数据都来源于后端, 所以这个时候我们需要将前端自己内部的mock去除, 从而配合后端 解决问题 在前后端分离的项目中即使前后端端口一致, 也不能解决的问题, 还需要在后端中进行配置 配置需要的地址 配置的请求头 配置的请求方法 配置请求是否可以携带..
SpringBoot前后端分离问题
qq_25613413的博客
07-26 332
前端报错:has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is 解决代码: CorsConfig.java @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void...
SpringBoot + Vue前后端分离开发的问题
qq_44709990的博客
11-30 763
SpringBoot + Vue前后端分离开发的问题 文章目录SpringBoot + Vue前后端分离开发的问题一个因问题报错的例子问题与浏览器的同源策略如何解决问题后端来解决前端来解决 一个因问题报错的例子   我们以一个简单的springboot + vue前后端分离小例子来引入问题,我们要从前端输入一个字符串,然后通过ajax发送请求将这个字符串传给后端,由后端接收并打印出来   这个例子十分简单,我们直接上代码:   后端: @RestController @Reque
springboot实现前后端分离访问
古甲哈醒的专栏
06-11 1519
springboot项目中,前端html页面和后端api接口分离的,实际项目部署的时候也是分开部署的。这样由于IP不同或者端口不同,就存在问题,导致html无法调用api。 为解决此问题,实际项目部署的时候一般有三种解决方案: **(1)使用Nginx反向代理**
SpringBoot配置CORS实现访问详解
"本文主要介绍了如何在SpringBoot框架下实现前后端分离访问,重点讲解了CORS资源共享)的工作原理和配置方法。" 在SpringBoot中处理访问问题,主要是通过CORS(Cross-OriginResourceSharing)机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值