SpringBoot通过cors处理跨域问题记录

最新推荐文章于 2025-05-18 08:30:00 发布
原创 最新推荐文章于 2025-05-18 08:30:00 发布 · 2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#跨域

本文深入探讨了跨域请求的概念,区分了简单请求与非简单请求,并详细介绍了如何在SpringBoot中配置过滤器以实现跨域。同时,讨论了设置MaxAge的影响及代理在跨域中的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

关于跨域

(1)简单请求

(2)非简单请求

SpringBoot中添加过滤器

参考文献

关于跨域

在说SpringBoot的cors之前,我们先来记录下关于跨域的一些基本知识。首先,什么是跨域?所谓跨域,即:由于浏览器同源策略,凡是发送请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域!

简单的理解,我请求A服务的页面,但是再页面中又有请求B服务的请求,这时候就存在跨域的问题。顺便在说一下我们在做vue单页应用时候的跨域。vue前台跑起来之后,其实通过webpack启动了一个nodejs服务,把我们的写的组件等代码打包后放到node服务器运行,我们在浏览器中请求的是node服务所在域,但是正常情况下我们和后台交互的时候,是需要再请求后台接口服务域,这就造成了跨域问题,即:页面资源请求的node服务域,数据请求的后台接口服务域。关于处理vue跨域请求的问题,之前一篇博客已经做了记录,这里不赘述,具体请点我

跨域请求其实分为两种情况:

(1)简单请求

简单请求其实就是普通的POST、GET请求,并且不定义修改任何header信息,这种情况下就是简单请求,简单请求的特点是,前端可以直接直接发起请求,后端也可以正常的响应,但是如果后端没有修改response的header信息,前端浏览器会直接拦截后端的response,在console中报跨域错误。

但实际上,请求已经发送到后端,且后端也进行了正常的返回,在NetWork中可以直观的看到请求已经正常发送并返回。

(2)非简单请求

所谓非简单请求,就是发送了DELETE/PUT等请求,并且有自定义header,或者Content-Type是application/json类型的时候,就是非简单请求,对于非简单请求,浏览器默认会先发送一次OPTIONS请求进行“探路”,确认后端服务是否支持跨域访问,如果不支持,就直接停止该次请求。相对于简单请求而言,这种请求会在到达后台服务的默认过滤器的时候,就会被拦截到,因为默认情况下是不支持OPTIONS请求的,后台的web服务会直接返回告知前端不支持这种请求,当然在后端也看不到任何的业务请求日志打印。

关于简单请求和复杂请求的明细,参考这里。

SpringBoot中添加过滤器

直接上代码,如下:

public class CorsConfig {
    private CorsConfiguration buildConfig(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");//允许任何域名使用
        corsConfiguration.addAllowedHeader("*");//允许任何请求头
        corsConfiguration.addAllowedMethod("*");//允许任何类型请求
      
        //--
        corsConfiguration.setMaxAge(3600L);
        return corsConfiguration;
    }
    //@Bean
    public CorsFilter corsFilter(){
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",buildConfig());
        return  new CorsFilter(source);
    }
}

这里说一下,在网上大概搜一下,关于这一块的解决方案很多,主要的核心都是如下代码,没有设置setMaxAge的代码。

corsConfiguration.addAllowedOrigin("*");//允许任何域名使用
corsConfiguration.addAllowedHeader("*");//允许任何请求头
corsConfiguration.addAllowedMethod("*");//允许任何类型请求

这种方式是可以行的,但是具体到实际开发中,还有一个小情况,那就是对于非简单请求,每次都是请求两次,也就是说,每次都会发送探路的OPTIONS请求。

通过设置setMaxAge后,可以看到第一次会发送OPTIONS请求,但是后续的就不会再发送探路请求了,如果超过MaxAge后。

关于代理

在做VUE开发的时候,我们尝试使用了代理的方式解决跨域问题,需要说明的是,如果前端使用了代理方式解决跨域问题,那就完全是前端的处理方案,后端不需要做任何处理,也不需要进行cors的处理。

但是,如果后端按照上面的方式进行了cors设置,那么前端就不需要代理了,正常的跑就行!

参考文献

【1】探讨跨域请求资源的几种方式

【2】跨域资源共享 CORS 详解

【3】你所需要了解的跨域CORS原理

CORS处理心得随笔
qq_38951990的博客
10-03 1146
现如今大多数项目都是前后端开发的,前端项目和后端接口服务部署在不同的机器下,且一般部署机器的ip也不相同。那么在大环境的驱使下问题就成为了前后端开发必须面对的首要问题。那到底什么是请求呢,又要如何解决问题呢?
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2843
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
CORS 站访问 origin头 和 referer 头的配置
吃个榴莲压压鲸的博客
09-15 4446
cors 全局配置文件中,加入名白名单 private RefererProperties properties private CorsConfiguration buildConfig(){ List<String> stelist = properties.getRefererDomain(); CorsConfiguration corsConfiguration = new CorsConfiguration(); if(CollectionUti..
Java注解篇:@CrossOrigin
最新发布
05-18 1835
@CrossOrigin 是一个简单但非常实用的注解,极大简化了配置,特别适合前后端分离架构下的 API 接口服务。
java配置springboot配置Cors
29岁的裴野永远爱你
11-06 1432
概念: 前端对Cross-Origin Resource Sharing 问题(CORS,中文又称’’)应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有呢?本文主要分两个部分,一是对这个问题的总结,二是nginx下如何配置服务器允许...
springboot解决的几种方式
myli92的博客
05-12 888
方法一、SpringBoot的注解@CrossOrigin 直接在Controller方法或者类上增加@CrossOrigin注解,SpringMVC使用@CrossOrigin使用场景要求 jdk1.8+ Spring4.2+ @GetMapping("/hello") @CrossOrigin public String hello() { return "hello:" + simpleDateFormat.format(new Date()); } 方式二:使用CorsFil
spring配置CORS后未返回Access-Control-Allow-Origin的踩坑解决
07-09 7142
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
Spring Boot项目中解决问题(四种方式)
m0_74825238的博客
02-15 988
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
springboot解决的四种方法
qq_15351167的博客
04-13 2861
前言:最近在做项目,后台使用SSM+Restful的url风格,因为前后台分离,前台静态界面和后台代码不在一个容器中,导致前台静态html的ajax访问后台出现问题,经过查询资料,终于解决了问题,在此记录总结以后备用。 1.什么是 可以参考:https://blog.csdn.net/tjcjava/article/details/76468225 2.解决方法 ...
问题终结者】:彻底解决Vue与SpringBoot分离架构的难题
[【问题终结者】:彻底解决Vue与SpringBoot分离架构的难题](https://tecadmin.net/wp-content/uploads/2022/12/configure-CORS-on-nginx.png) # 1. 问题的前世今生 问题一直是Web开发中的一个常见...
springboot整合mybatis,druid,cors,mybatis-plugin脚手架
02-23
标题 "springboot整合mybatis,druid,cors,mybatis-plugin脚手架" 描述了一种在Spring Boot项目中集成MyBatis、Druid数据源、CORS处理以及MyBatis Plugin的方式。这四个技术组件是Java开发中常见的工具和服务...
遇到问题(origin:* 多处使用,导致失效)
qq_15874209的博客
08-25 955
在网关中使用了以下代码 /** * 配置路由支持 * * @return */ @Bean @Order(Integer.MAX_VALUE) public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource
Spring boot配置Cors 指定ip失效解决方法
qq_21696621的博客
07-06 2179
package com.imooc.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguratio.
初识
白马太黑的博客
12-07 699
问题一、产生原因二、解决方案1. Jsonp==》json的变种2. Nginx(部署时候用)3. CORS(资源共享)3.1 原理3.1.1简单请求:3.1.2 特殊请求3.1.3 预检请求3.2 解决方案实现方案一:方案二: 一、产生原因 存在问题的情况 ①同一个名,不同的端口 --属于 localhost:8080 --> localhost:80 ②不同 ...
SpringBoot超赞的配置类——CorsConfig
ZBYTSL的博客
01-10 4692
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web....
问题解决之后端config
weixin_48858580的博客
11-13 102
【代码】问题解决之后端config。
问题处理(学习笔记,不喜勿喷)
Jjs_Object的博客
08-05 222
一、了解 什么是是指浏览器不能执行其他网站的脚本,它是由浏览器的同源策略造成的,是浏览器对javascript施加的安全限制 同源策略? 是指协议、名、端口都要相同,但凡其中一项不相同,都会产生 浏览器会将cors请求分成两类:简单请求,非简单请求 简单请求: (1) 请求方法是以下三种方法之一: HEAD GET POST (2)HTTP的头信息不超出以下几种字段: Accept Accept-Language Content-Language Last-Ev
springboot项目解决后台CORS
一个有梦想的混子
04-23 828
import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.context.annotation.Bean; import org.springframework.we...
问题
keep12moving的博客
09-11 515
:浏览器对于javascript的同源策略的限制 。 以下情况都属于原因说明 示例 名不同 www.jd.com 与 www.taobao.com 名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级名不同...
springBoot 404问题全面解析与完美解决方案
如果遇到问题,需要在Spring Boot项目中配置相应的CORS处理。 6. **Spring Security配置** 如果项目中使用了Spring Security做安全控制,需要确保拦截器(Interceptor)或者Security配置不会拦截到所有的请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值