Spring 3.1 MVC REST 支持之跨域访问(Cross-origin resource sharing)

最新推荐文章于 2025-03-02 19:23:35 发布
转载 最新推荐文章于 2025-03-02 19:23:35 发布 · 472 阅读 · 0
文章标签:

#mvc #spring #跨域

本文详细介绍了如何在Spring框架下实现跨域资源共享(CORS)功能,包括配置默认授权访问的URL、拦截器实现以及如何处理OPTIONS请求以支持跨域访问。重点在于通过设置特定的HTTP头部来允许不同源的请求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于跨域资源访问请参考 http://en.wikipedia.org/wiki/Cross-origin_resource_sharing ,基本原理是在Spring Controller的每一个请求返回的时候都加上Access-Control-...header,需要注意的是并不是所有的浏览器都支持这些header,使用之前要先了解清楚。

实现起来也很简单那就是Interceptor,代码如下:

public class AccessKeyInterceptor extends HandlerInterceptorAdapter {  
  
    private static Log log=LogFactory.getLog(AccessKeyInterceptor.class);  
      
    @Autowired  
    private IAccessService accessService;  
      
    private String accessKeyParameterName="accessKey";  
    private List<String> defaultAccessAllowedFrom;  
      
    @Override  
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  
        String accessKey=request.getParameter(accessKeyParameterName);  
        String referer = request.getHeader("Referer");  
        URL u = new URL(referer);  
        String host = u.getHost().toLowerCase();  
        if(accessKey==null){  
            log.error("====================================ILLEGAL ACCESS: ACCESS_KEY_MISSING!=======================");  
        }else{  
            log.debug("====================================ACCESS WITH Access KEY:"+accessKey+"====================");  
            IAccess access = accessService.getAccess(UserSessionUtils.getUserSession(request), accessKey);  
            if(access!=null){  
                defaultAccessAllowedFrom=access.getAccessAllowedFrom();  
            }else{  
                log.warn("======================================ACCESS KEY:"+accessKey+" DOES NOT EXIST!=================");      
            }  
        }  
        for(String s : defaultAccessAllowedFrom) {  
            if(host.matches(s)){                              
                response.setHeader("Access-Control-Allow-Origin", referer);  
                break;  
            }  
        }  
        response.setHeader("Access-Control-Allow-Headers", "Content-Type");  
        response.setHeader("Access-Control-Allow-Methods", "GET");  
        response.setHeader("Allow", "GET");  
        return true;  
    }  
      
    public List<String> getDefaultAccessAllowedFrom() {  
        return defaultAccessAllowedFrom;  
    }  
  
    public void setDefaultAccessAllowedFrom(List<String> defaultAccessAllowedFrom) {  
        this.defaultAccessAllowedFrom = defaultAccessAllowedFrom;  
    }  
  
    public String getAccessKeyParameterName() {  
        return AccessKeyParameterName;  
    }  
  
    public void setAccessKeyParameterName(String accessKeyParameterName) {  
        this.AccessKeyParameterName = AccessKeyParameterName;  
    }  
}
其中defaultAccessAllowedFrom是在Spring的配置文件中,主要的配置默认授权访问的url,如下: 
<property name="defaultAccessAllowedFrom">  
    <list>  
        <value>(.+\.)?(domain\.com)$</value>  
        <value>(.+\.)?(192\.168\.0\.10)$</value>  
    </list>  
</property>
但是由于Spring默认Controller是不处理OPTIONS的请求的,所以必须在web.xml中打开,如下: 

<servlet>    
   <servlet-name>application</servlet-name>    
   <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>  
   <init-param>  
        <param-name>dispatchOptionsRequest</param-name>  
        <param-value>true</param-value>  
   </init-param>    
   <load-on-startup>1</load-on-startup>    
</servlet>    
<servlet-mapping>    
   <servlet-name>application</servlet-name>    
   <url-pattern>/</url-pattern>   
</servlet-mapping>
这样当请求时POST的时候前段就会自动先请求OPTIONS,得到许可后就可以跨域访问POST请求了。一般我们会在OPTIONS的方法中加上"Allow: OPTIONS,GET,POST"类似header以区分于普通的请求。

转载地址:http://blog.youkuaiyun.com/hyman_xie/article/details/7816991


magic_h
关注
后端领如何发挥Spring Data REST的最大价值
架构师的AI之路,分享AI应用开发架构的学习与实践。
05-09 718
Spring Data RESTSpring生态系统中的一个强大框架,它能够基于Spring Data仓库自动生成RESTful API。正确配置和定制Spring Data REST处理复杂业务场景下的扩展需求优化生成的API性能确保API安全性与前端框架无缝集成本文覆盖范围包括Spring Data REST 3.x版本,主要与Spring Boot 2.7+配合使用。文章首先介绍Spring Data REST的核心概念,然后深入其工作原理和配置方式。
SpringMVC系列-7 @CrossOrigin注解与问题
shengyu
11-25 6526
理解同源策略是理解的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成站脚本攻击;不同源之间进行限制。 不同源之间形成,包括:协议、名、端口。http和https,localhost和127.0.0.1也会形成(即使经过名解析后相同)。 由于浏览器引擎实现了同源策略,即对访问进行了限制,因此存在问题。
基于SpringSpring MVC实现可访问REST服务
06-08
NULL 博文链接:https://nethub2.iteye.com/blog/2333782
springRest+cross支持
u012425586的博客
06-17 179
最近一个接口项目需要支持访问,基于cross实现。于是去spring官网上找了下,发现spring版本4.2+开始支持通过@CrossOrigin注解实现支持。于是把spring版本升级到4.2.6,下面记录踩过的坑。 controller只需要在原先方法上面添加@CrossOrigin注解即可 [code="java"] @Controller @RequestMap...
使用Spring Framework解决Ajax的问题
likuiwin的专栏
04-14 173
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.c...
详解SpringMVC解决的两种方案
08-29
本篇文章主要介绍了详解SpringMVC解决的两种方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
十七:Spring Boot依赖 (2)-- spring-boot-starter-web 依赖详解
最新发布
web_13233421436的博客
03-02 1069
REST(Representational State Transfer)是一种通过 HTTP 协议与 Web 服务交互的架构风格。RESTful Web 服务遵循一系列约定,通常使用 HTTP 方法(如 GET、POST、PUT、DELETE)来进行资源的创建、查询、更新和删除操作。每个资源通常由一个 URL 唯一标识,且资源的数据通常以 JSON 返回。**Cross-Origin)**是指浏览器在不同的、协议、端口之间进行资源请求的行为。
Spring注解驱动开发: AnnotationUtils与Spring MVC的深度集成
[Spring注解驱动开发: AnnotationUtils与Spring MVC的深度集成](https://www.theknowledgeacademy.com/_files/images/The_five_built-in_annotations_in_Java.png) # 1. Spring注解驱动开发概述 Spring注解驱动...
RESTful服务优雅设计:Spring REST API最佳实践解析
[RESTful服务优雅设计:Spring REST API最佳实践解析](https://community.developer.visa.com/t5/image/serverpage/image-id/1091iC89360F220C51339/image-size/large?v=v2&px=999) # 1. RESTful架构与服务设计原则 ...
Django 之 问题
Hello LinWoW~ ⊙o⊙
07-08 352
同源策略 因为浏览器的同源策略限制,不是同源的脚本不能操作其他源下面的资源,想操作另一个源下面的资源就属于了,这里说的是广义,我们常说的代码中请求,是狭义的,即在脚本代码中向非同源发送http请求 浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(站脚本攻击 cross site s...
SpringBoot 使用Cross-Origin Resource Sharing(CORS)解决前后端分离后的问题
qianye的博客
01-23 8917
一、什么是 ,指的是浏览器不能执行其他网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。所谓同源是指,名,协议,端口均相同。 例如: http://127.0.0.1:8850/test/index.html 调用 http://127.0.0.1:8850/test/server (非) http://127.0.0.1:8850/test/index.html ...
Spring Boot中对CORS(Cross-Origin Resource Sharing 资源共享)支持
Champion-Dai
07-31 800
1、概念 Cors(Cross-Origin Resourece Sharing)是由W3C制定的一种资源共享技术标准,目的是为了解决前端的请求。 2、实验步骤 SpringBoot中配置Cors的步骤如下: 2.1 创建第一个Spring Boot工程(切记:本实验中,第一个工程的tomcat的接口为8086)。本实验中添加Web依赖。 <dependency> ...
Spring 里多种 CORS 配置方式
许久
02-14 2422
参考:https://cloud.tencent.com/developer/article/1703212 https://cloud.tencent.com/developer/article/1513473 一、CORS 介绍 CORS全称是Cross-Origin Resource Sharing,直译过来就是资源共享。 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的请求将被禁止发送;为了让请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情.
什么是Cross-Origin)请求,如何解决问题?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-30 1267
引言请求基本概念同源策略概述请求的作用解决问题的方法示例一:使用JSONP发起请求示例二:设置CORS响应头示例三:使用Fetch API发起带有CORS的请求设置CORS预检请求示例四:CORS预检请求使用代理服务器示例五:配置Webpack Dev Server代理实际工作中的使用技巧技巧一:正确设置Access-Control-Allow-Origin技巧二:处理预检请求技巧三:使用代理服务器技巧四:避免使用Credentials技巧五:利用第三方库拓展内容结语。
SpringMVC对于访问支持
该怎么解释?我懒得解释
07-18 6535
一、简介 出于安全原因,浏览器禁止Ajax调用与当前资源不同源的外部资源。例如:如果你正在一个窗口检查你的银行账户,那你可能会遇到这样的错误:com网站在另一个窗口打开。这是一个错误的脚本。因为com不应该让Ajax使用你的凭证请求到你的银行API(例如:从你的银行账户提现)。 Cross-origin resource sharing(CORS) 是一个大多数浏览器对W3C规范的实现,它允许
Spring完美解决问题
热门推荐
zjq852533445的博客
03-08 2万+
一、 Spring MVC 从4.2版本开始增加了对CORS的支持Spring MVC 中增加CORS支持非常简单,可以配置全局的规则&lt;mvc:cors&gt; &lt;mvc:mapping path="/**" allowed-origins="*" allow-credentials="true" max-age="1800" allowed-meth...
SpringMVC解决问题
非鹭千里
09-30 560
什么是 ,即站HTTP请求(Cross-site HTTP request),指发起请求的资源所在不同于请求指向资源所在的HTTP请求。 的应用情景 当使用前后端分离,后端主导的开发方式进行前后端协作开发时,常常有如下情景: 后端开发完毕在服务器上进行部署并给前端API文档。 前端在本地进行开发并向远程服务器上部署的后端发送请求。 在这种开发过程中,如果前端想要一边开发一
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 640
传统的Ajax请求只能获取在同一个名下面的资源,但是HTML5打破了这个限制,允许Ajax发起的请求。浏览器是可以发起请求的,比如你可以外链一个外的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight中,服务器需要创建一个crossdomain.xml的文件来允许请求。如果这个文件声明“http:/...
Spring MVC CORS 实现源码详解与配置
描述:本文深入探讨了Spring MVC框架中如何实现资源共享(Cross-Origin Resource Sharing, CORS)。自Spring MVC 4.2版本开始,该框架提供了对CORS的支持,使得开发人员能够处理来自不同源的HTTP请求,确保浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值