SpringBoot解决跨域请求拦截

SpringBoot配置跨域请求详解
最新推荐文章于 2024-09-29 14:58:09 发布
原创 最新推荐文章于 2024-09-29 14:58:09 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Java #spring

本文探讨了SpringBoot在微服务开发中如何解决跨域请求拦截问题。通过创建两个不同端口的Web项目,展示了当请求源不同时,浏览器的同源策略导致的跨域拦截。介绍了通过实现WebMvcConfigurer接口添加允许跨域的配置,以及使用@CrossOrigin注解进行更细粒度的权限控制。最后,鼓励开发者学习提升,提供了相关的Java架构学习资料。

前言 

同源策略:判断是否是同源的,主要看这三点,协议,ip,端口。

同源策略就是浏览器出于网站安全性的考虑,限制不同源之间的资源相互访问的一种政策。

比如在域名https://www.baidu.com下,脚本不能够访问https://www.sina.com源下的资源,否则将会被浏览器拦截。

 

注意两点:

1.必须是脚本请求,比如AJAX请求。

但是如下情况不会产生跨域拦截

<img src="xxx"/>
<a href='xxx"> </a>

2.跨域拦截是前端请求已经发出,并且在后端返回响应时检查相关参数,是否允许接收后端请求。

 

 在微服务开发中,一个系统包含多个微服务,会存在跨域请求的场景。

 

本文主要讲解SpringBoot解决跨域请求拦截的问题。

 

搭建项目

这里创建两个web项目,web1 和 web2.

web2项目请求web1项目的资源。

这里只贴关键代码,完整代码参考GitHub

WEB2

创建一个Controller返回html页面

 

@Slf4j
@Controller
public class HomeController {
    @RequestMapping("/index")
    public String home(){
        log.info("/index");
        return "/home";
    }
}

 

 

 

html页面 home.html

这里创建了一个按钮,按钮按下则请求资源:"http://localhost:8301/hello"

 

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>web2</title>
    <script src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js">
    </script>
    <script>
        $(function () {
            
            $("#testBtn").click(function () {
                console.log("testbtn ...");
                $.get("http://localhost:8301/hello",function(data,status){
                    alert("数据: " + data + "\n状态: " + status);
                });
            })
            
        })
    </script>
</head>
<body>
    web2
    <button id="testBtn">测试</button>
</body>
</html>

 

 

 

WEB1

 

@Slf4j
@RestController
public class Web1Controller {
    @RequestMapping("/hello")
    public String hello(){
        log.info("hello ");
        return "hello," + new Date().toString();
    }
}

 

 

 这里配置两个项目为不同的端口。

WEB1为8301

WEB2为8302

因此是不同源的。 

测试

在web1还没有配置允许跨域访问的情况下

按下按钮,将会出现错误。显示Header中没有Access-Control-Allow-Origin

Access to XMLHttpRequest at 'http://localhost:8301/hello' from origin 'http://localhost:8300' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

 

 

WEB1添加允许跨域请求,通过实现WebMvcConfigurer

 

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/hello");
    }
}

 

 

 

再次访问将会返回正常数据。

 

 

 

 

除了以上的配置外,还可以做更细致的限制

比如对请求的headers,请求的方法POST/GET...。请求的源进行限制。

 

 

 

 

 

同时还可以使用注解 @CrossOrigin来替换上面的配置。

 

@Slf4j
@RestController
public class Web1Controller {
    @CrossOrigin
    @RequestMapping("/hello")
    public String hello(){
        log.info("hello ");
        return "hello," + new Date().toString();
    }
}

 

 

 

 

注解可以用在类上,也可以用在方法上,但必须是控制器类

配置和上面一样,也是可以对方法,header,源进行个性化限制。

 

@Target({ElementType.METHOD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
    /** @deprecated */
    @Deprecated
    String[] DEFAULT_ORIGINS = new String[]{"*"};
    /** @deprecated */
    @Deprecated
    String[] DEFAULT_ALLOWED_HEADERS = new String[]{"*"};
    /** @deprecated */
    @Deprecated
    boolean DEFAULT_ALLOW_CREDENTIALS = false;
    /** @deprecated */
    @Deprecated
    long DEFAULT_MAX_AGE = 1800L;
    @AliasFor("origins")
    String[] value() default {};
    @AliasFor("value")
    String[] origins() default {};
    String[] allowedHeaders() default {};
    String[] exposedHeaders() default {};
    RequestMethod[] methods() default {};
    String allowCredentials() default "";
    long maxAge() default -1L;
}

 

欢迎工作一到五年的Java工程师朋友们加入Java程序员开发: 721575865

群内提供免费的Java架构学习资料(里面有高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码,MyBatis,Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等多个知识点的架构资料)合理利用自己每一分每一秒的时间来学习提升自己,不要再用"没有时间“来掩饰自己思想上的懒惰!趁年轻,使劲拼,给未来的自己一个交代!

浅谈spring-boot 允许接口并实现拦截(CORS)
08-29
本篇文章主要介绍了浅谈spring-boot 允许接口并实现拦截(CORS),具有一定的参考价值,有兴趣的可以了解一下
Spring Boot项目中解决问题(四种方式)
最新发布
2509_93956994的博客
11-03 1022
当一个浏览器的两个tab页中分别打开来自百度谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在送我们输入的用户名,密码等数据之前,还送了一次OPTIONS的请求,这是浏览器自动送的,为了验证是否允许访问。*,这个在开测试的时候可以这么设置,但如果是生产环境,建议要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
springboot允许注解_浅谈spring-boot 允许接口并实现拦截(CORS)
weixin_39938522的博客
12-19 485
本文介绍了spring-boot 允许接口并实现拦截(CORS),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webCORS的配置(主要配置允许什么样的方法)import org.springframewor...
Spring Boot之允许接口并实现拦截CORS
疯一样的女子
05-24 1332
pom.xml(依赖的jar) // 在spring-boot-starter-web的启动器中,已经依赖好了 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> CORS的配置(主要配.
Spring Boot配置拦截器及实现访问的方法
08-26
主要介绍了Spring Boot配置拦截器及实现访问的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot解决请求拦截问题代码实例
08-25
SpringBoot解决请求拦截问题代码实例 在微服务开中,一个系统包含多个微服务,会存在请求的场景。本文主要讲解SpringBoot解决请求拦截的问题。 知识点1:同源策略 同源策略是浏览器出于网站安全性...
springboot 解决问题
2301_79055083的博客
05-04 1004
JVM,JAVA集合,JAVA多线程并JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
SpringBoot 解决问题的 5 种方案!
热门推荐
m0_71777195的博客
09-13 3万+
问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决问题,只需要告诉浏览器“我是自己人,要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部、通过配置文件实现全局、通过 CorsFilter 对象实现全局、通过 Response 对象实现局部,通过 ResponseBodyAdvice 实现全局
SpringBoot解决问题
pan_junbiao的博客
09-29 1484
Spring Boot 项目中解决问题,主要可以通过以下几种方式来实现。使用 @CrossOrigin 注解,是 Spring 4.2 后引入的。这是解决问题最直接简单的方法,@CrossOrigin 注解可以添加到类或者方法上,以允许请求。通过实现 WebMvcConfigurer 接口,并重写 addCorsMappings 方法来实现解决问题,这种方式提供了更灵活的配置选项,实现全局的配置。
SpringBoot解决的三种解决方案
黄团团的个人博客
06-06 913
是指在 Web 开中,通过名的网站之间进行数据交互或资源共享时,由于浏览器的同源策略限制导致的访问限制问题。同源策略要求网页中所有资源的请求都要与页面来源相同,包括协议、名、端口号必须完全一致。如果请求的资源与页面来源一致,就会触问题。
+登录拦截器配置
m0_56231256的博客
11-26 894
+拦截器配置
springboot优雅的配置拦截
cb李先生的学习日志
07-02 285
@Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.setMaxAge(18000L...
拦截器实现SpringBoot请求
yaoct的博客
02-26 3534
因为springboot的@CrossOrigin注解在拦截器上无效,有时候就能在拦截器返回给数据前端信息。 所以自己实现拦截器实现处理,再在普通拦截器上,在HttpServletResponse封装返回给前端的信息 。 这里就要先了解CORS的原理,下面这段摘自https://www.jianshu.com/p/f5a88983f42d。 cross-origin reso.........
springboot实现黑名单白名单功能
m0_63251896的博客
01-13 3577
springboot实现黑名单白名单功能
Spring Boot如何彻底解决问题,五种方案来看看吧
2301_77899321的博客
03-02 4793
Spring Boot项目中可以通过配置来解决问题,在Spring Boot的配置类中添加一个配置的Bean。
spring boot 添加整合ssl使得http变成https方法
weixin_30471561的博客
06-11 334
1. https出现的背景:(1)都知道http传输协议是裸漏的,明文传输的,极易被黑客拦截,因此,(2)人们想出的使用加密,也就是 对称加密 例如aes,过这个由于因为对称加密需要每个客户端服务器有独立一套,当客户端多的时候维护困难,因此 有了 非对称加密 例如 RSA,RSA,这个是1977年 麻省理工学院三个程序员明的,很厉害,目前还未被破解,扯远了 RSA是一种公钥密码体制,现在使...
请求被拒绝时,会进入后端接口执行吗? 对有个全面的认知
yionr的博客
11-07 5133
本文以==请求服务器端是如何处理的,是否会执行业务代码,浏览器又是如何处理的==这个疑问为出点,以实验的形式探索了在B/S端的处理方式,实验首先以自己实现CORS基本规范来得出结果,随后又结合标准探索了Spring的`@CrossOrigin`注解的实现以及源码解读。在这个过程中现了很多支线问题,并一一解决并记录。
springboot解决的5种方式
02-28
### Spring Boot 中解决 CORS 请求的五种方法 #### 方法一:使用 `@CrossOrigin` 注解 在 Controller 类或具体的方法上添加 `@CrossOrigin` 注解,能够快速有效地处理问题。该注解支持设置多个参数,如允许的源地址、HTTP 方法以及自定义头部。 ```java @RestController @RequestMapping("/api") public class MyController { @CrossOrigin(origins = "http://example.com", methods = {RequestMethod.GET, RequestMethod.POST}) @GetMapping("/data") public String getData() { return "Data"; } } ``` 这种方法适用于小型项目中的单个接口或少数几个接口[^1]。 #### 方法二:通过配置类实现全局 CORS 支持 创建一个继承自 `WebMvcConfigurer` 的配置类,并重写其中的相关方法来指定全局范围内的策略。 ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*"); } } ``` 这种方式适合于大型项目的统一管理需求[^3]。 #### 方法三:利用 Filter 进行拦截并响应预检请求 编写自定义过滤器,在每次 HTTP 请求到达之前对其进行检查;对于 OPTIONS 预检请求,则返回合适的响应头信息以告知客户端服务器端愿意接受来自任何地方的连接尝试。 ```java @Component public class SimpleCORSFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { filterChain.doFilter(req, res); } } } ``` 这种做法灵活性较高,尤其当需要更细粒度地控制哪些路径应该被允许时非常有用。 #### 方法四:基于 Security Config 实现安全上下文下的 CORS 控制 如果应用程序已经集成了 Spring Security 组件,则可以在其基础上进一步增强安全性的同时也完成对 CORS 行为的规定: ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and() .csrf().disable(); } @Bean CorsConfigurationSource corsConfigurationSource() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); // 是否允许送Cookie凭证信息,默认false config.addAllowedOriginPattern("*"); // 允许所有的名访问 config.setMaxAge(3600L); // 设置缓存时间(秒) config.addAllowedHeader("*"); // 允许所有类型的header字段 config.addAllowedMethod("*"); // 允许所有的Http Method source.registerCorsConfiguration("/**", config); return source; } } ``` 这有助于确保即使启用了严格的认证机制也会影响到正常的站资源共享操作。 #### 方法五:借助第三方库简化 CORS 处理逻辑 除了上述四种内置方式外,还可以考虑引入专门针对 RESTful API 设计的开源工具包——例如 spring-cloud-starter-gateway 或者 resilience4j-circuitbreaker ——它们往往自带完善的 CORS 解决方案,从而减少开者自行编码的工作量。 以上就是关于如何在 Spring Boot 应用程序内有效应对 CORS 问题的主要途径概述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值