后端跨域设置

为什么会出现跨域问题

出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)

 

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

 

跨域请求

跨域资源共享CORS详解

一、简介

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。

实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。

二、两种请求

浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)。

2.1简单请求

对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。

上面的头信息中,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。服务器根据这个值,决定是否同意这次请求。

如果Origin指定的源,不在许可范围内,服务器会返回一个正常的HTTP回应。浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段(详见下文),就知道出错了,从而抛出一个错误,被XMLHttpRequest的onerror回调函数捕获。

Origin指定的域名受否在许可的范围之内?

Access-Control-Allow-Origin

该字段是必须的。它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求

 

2.2非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。

非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

 

"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。

除了Origin字段,"预检"请求的头信息包括两个特殊字段。

一旦服务器通过了"预检"请求,以后每次浏览器正常的CORS请求,就都跟简单请求一样,会有一个Origin头信息字段。服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

Access-Control-Allow-Origin: http://api.bob.com.

 

### 后端配置方法 #### 使用 `@CrossOrigin` 注解实现局部 对于简单的应用场景,可以在控制器类或特定的方法上使用 `@CrossOrigin` 注解来允许来自指定源的请求。这种方式适用于小型项目或是只需要部分接口支持的情况。 ```java @RestController @CrossOrigin(origins = "http://localhost:9133") // 允许来自 http://localhost:9133 的请求 public class MyController { @GetMapping("/api/data") public String getData() { return "Data from backend"; } } ``` 该方式简单易用,但是当项目规模较大时,维护成本较高[^2]。 #### 基于过滤器全局处理问题 为了更灵活地管理设置并减少重复代码,在大型应用程序中推荐通过自定义过滤器的方式来进行全局性的配置。下面是一个基于 Spring Boot 实现的例子: ```java import org.springframework.context.annotation.Bean; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; @Configuration public class CorsConfig { private static final long MAX_AGE_SECS = 3600L; @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 这段代码创建了一个名为 `corsFilter()` 的 Bean 来注册 CORS 过滤器,并设置了允许凭证共享 (`setAllowCredentials`)、通配符匹配所有来源(`addAllowedOrigin("*")`)以及其他必要的参数[^4]。 #### 利用 WebMvcConfigurer 接口定制化配置 另一种常见的做法是在Spring框架下利用 `WebMvcConfigurer` 接口完成更加细致化的CORS策略设定: ```java @EnableWebMvc @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://localhost:9133") .allowCredentials(true) .maxAge(MAX_AGE_SECS); } } ``` 这里同样实现了对所有路径下的资源开放给前端地址为 `http://localhost:9133` 的客户端访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值