解决跨域问题(SpringBoot)

原创 已于 2024-01-03 11:12:17 修改 · 900 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2024-01-03 11:11:16 首次发布
本文探讨了跨域原理,展示了在SpringBoot中处理跨域的三种方法,以及如何在Nginx中配置跨域。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

“什么是跨域?”

跨域 (Cross-Origin) 是指在浏览器的同源策略(Same-Origin Policy)下,一个网页的源(指协议、域名、端口号的组合)与另一个网页的源不同。因此,不同源的网页之间受到限制,无法直接进行通信。
同源策略(Same-Origin Policy)是一种由浏览器实施的安全机制,旨在限制一个源(指协议、域名、端口号的组合)的网页在脚本中如何与另一个不同源的资源进行交互。该策略的主要目的是防止潜在的恶意网站通过脚本访问用户的敏感信息,增强浏览器的安全性。
具体而言,同源策略限制了通过脚本访问不同源的文档、Cookie、LocalStorage 等资源。当一个网页尝试在脚本中请求另一个不同域的资源时,浏览器会阻止这个请求,以保护用户的隐私和防范潜在的安全威胁。

如何解决:

1.Spring Boot中解决跨域问题有三种主要办法
(1)注解,使用@CrossOrigin注解: 在控制器类或方法上使用@CrossOrigin注解,指定允许的域名、请求方法等。这是一种简单直接的方式
  /**
 * 在控制器方法或类上使用 @CrossOrigin 注解,指定允许跨域的配置。
 * 
 * @param origins 允许访问的域名,可以使用通配符 "*" 表示允许所有域名访问。
 * @param maxAge 预检请求的缓存时间,单位为秒。在此时间范围内,浏览器无需再次发起预检请求。
 */
@RestController
@RequestMapping("/api")
@CrossOrigin(origins = "http://localhost:8080", maxAge = 3600)
public class MyController {
    // 控制器方法
}

origins: 指定允许访问的域名。可以是一个具体的域名,也可以使用通配符 "*" 表示允许所有域名访问。在示例中,只允许来自 http://localhost:8080 的域名发起跨域请求。
maxAge: 预检请求的缓存时间,单位为秒。预检请求是一种 CORS 机制中的预检查步骤,用于确认实际请求是否安全。maxAge 指定了浏览器可以缓存预检请求的时间,即在这个时间范围内,浏览器无需再次发起预检请求。在示例中,设置为 3600 秒(1 小时)。

(2)配置全局跨域规则: 创建一个配置类,继承WebMvcConfigurerAdapter,重写addCorsMappings方法,配置全局的跨域设置

public class CorsConfig extends WebMvcConfigurerAdapter {

    /**
     * 重写 addCorsMappings 方法,配置全局的跨域设置。
     * @param registry CorsRegistry 对象,用于配置跨域规则。
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 针对路径 "/api/**" 配置跨域规则
        registry.addMapping("/api/**")
                
                // 允许访问的域名,可以使用通配符 "*" 表示允许所有域名访问
                .allowedOrigins("http://localhost:8080")
                
                // 允许的请求方法,如 GET、POST、PUT、DELETE
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                
                // 是否允许携带凭证信息(如 Cookie)
                .allowCredentials(true)
                
                // 预检请求的缓存时间,单位为秒。在此时间范围内,浏览器无需再次发起预检请求
                .maxAge(3600);
    }
}

(3)使用Filter进行跨域设置: 创建一个CorsFilter过滤器,配置跨域规则,然后在WebApplication中注册这个过滤器。

```c
/**
 * 自定义 CorsFilter 类,继承自 OncePerRequestFilter,用于配置跨域过滤器。
 */
@Component
public class CorsFilter extends OncePerRequestFilter {

    /**
     * 重写 doFilterInternal 方法,处理跨域配置逻辑。
     * @param request HttpServletRequest 对象,表示 HTTP 请求。
     * @param response HttpServletResponse 对象,表示 HTTP 响应。
     * @param filterChain FilterChain 对象,表示过滤器链。
     * @throws ServletException 如果发生 Servlet 异常。
     * @throws IOException 如果发生 I/O 异常。
     */
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 设置允许访问的域名为 "http://localhost:8080"
        response.setHeader("Access-Control-Allow-Origin", "http://localhost:8080");

        // 允许的请求方法,如 GET、POST、PUT、DELETE
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");

        // 允许的请求头,如 Content-Type
        response.setHeader("Access-Control-Allow-Headers", "Content-Type");

        // 是否允许携带凭证信息(如 Cookie)
        response.setHeader("Access-Control-Allow-Credentials", "true");

        // 预检请求的缓存时间,单位为秒。在此时间范围内,浏览器无需再次发起预检请求
        response.setHeader("Access-Control-Max-Age", "3600");

        // 继续执行过滤器链
        filterChain.doFilter(request, response);
    }
}
  • OncePerRequestFilter: 保证在一次请求中只执行一次过滤的基类。 doFilterInternal:
    重写父类的方法,处理跨域配置逻辑。 response.setHeader(“Access-Control-Allow-Origin”,
    “http://localhost:8080”): 设置允许访问的域名为 “http://localhost:8080”
    response.setHeader(“Access-Control-Allow-Methods”, “GET, POST, PUT,
    DELETE”): 允许的请求方法,如 GET、POST、PUT、DELETE。
    response.setHeader(“Access-Control-Allow-Headers”, “Content-Type”):
    允许的请求头,如 Content-Type。
    response.setHeader(“Access-Control-Allow-Credentials”, “true”):
    是否允许携带凭证信息(如 Cookie)。 response.setHeader(“Access-Control-Max-Age”,
    “3600”): 预检请求的缓存时间,单位为秒。在此时间范围内,浏览器无需再次发起预检请求

2.nginx配置方法
在nginx.conf中稍微添加配置即可:

location / {
    # 允许跨域的请求,可以自定义变量$http_origin,*表示所有
    add_header 'Access-Control-Allow-Origin' *;
    # 允许携带cookie请求
    add_header 'Access-Control-Allow-Credentials' 'true';
    # 允许跨域请求的方法:GET,POST,OPTIONS,PUT
    add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,PUT';
    # 允许请求时携带的头部信息,*表示所有
    add_header 'Access-Control-Allow-Headers' *;
    # 允许发送按段获取资源的请求
    add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
    # 一定要有!!!否则Post请求无法进行跨域!
    # 在发送Post跨域请求前,会以Options方式发送预检请求,服务器接受时才会正式请求
    if ($request_method = 'OPTIONS') {
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain; charset=utf-8';
        add_header 'Content-Length' 0;
        # 对于Options方式的请求返回204,表示接受跨域请求
        return 204;
    }
}
ninth_spring
关注
allowedOriginPatterns和allowedOrigins方法有什么不同
qq_44113347的博客
03-30 8583
这段代码表示,允许来自以 http://localhost: 开头的任意端口和以 https:// 开头的以 .example.com 结尾的任意二级名的请求访问任何请求路径,允许的 HTTP 方法包括 GET 和 POST,启用允许发送凭据,预检请求的缓存时间为 1 小时。allowedOrigins 方法使用的是字符串匹配,即只能指定具体的来源,而不能使用通配符;而 allowedOriginPatterns 方法使用的是 Ant 风格的路径匹配规则,可以使用通配符来匹配多个来源。
springboot解决问题
druidcaesa的博客
02-23 1959
随着互联网的发展,现在在企业开发中有好多都是前后端分离的开发模式,这种模式的开发必然造成了请求问题,然而springboot的CORS组件很好的解决问题,下面怎么就通过一个小实例看看CORS组件是怎么来解决问题的。 首先需要窗前一个服务提供项目,项目代码如下 编写一个服务控制类 package com.fyn.springboot.corsone.controller; i...
Spring Boot全局解决方案详解
随便写写
06-13 567
问题(Cross-Origin Resource Sharing, CORS)是浏览器基于同源策略(Same-Origin Policy)实施的一种安全机制,它限制了从不同源(协议、名、端口任一不同)加载的资源如何交互。在现代Web开发中,前后端分离架构非常普遍,问题成为开发者必须面对的挑战。Spring Boot提供了多种灵活的方式来处理问题,开发者可以根据项目需求选择最适合的方案。对于大多数应用,实现接口的方式提供了良好的平衡点,既保持了配置的简洁性,又能满足全局需求。
SpringBoot处理
queryById的博客
01-25 187
在前后端分离以后,在进行前后端接口对接的时候,可能会出现的情况。在这里进行处理 1.可以在配置文件中对进行处理 后期更新 2.可以新建一个类处理 package com.ruhr.rail.config; import org.springframework.context.annotation.Configuration; import org.s...
Spring Boot处理
梦想也许遥不可及,但重要的是追梦的过程,用博客记录自己的成长,记录自己一步一步向上攀登的印记
08-17 1228
问题:在前后端分离开发过程中,前后端程序独立部署在不同的服务器,默认是拒绝问题产生原因:在设计HTTP协议的时候,为了保证数据的安全,定义了同源同策规则,就比如我们的qq不能发消息给微信一样,所以不允许访问问题解决方案:后端处理前端处理中间反向代理服务器什么是解决方案讲的话,那我们就得了解一下同源策略。同源策略。...
Springboot解决问题
Yang19950816的博客
05-06 3084
前言 问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-Origin Policy),即只允许页面请求同源(相同协议、名和端口)的资源,当 JavaScript 发起的请求越了同源策略,即请求的目标与当前页面的名、端口、协议不一致时,浏览器会阻止请求的发送或接收。 同源策略/SOP(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,现在所有支持 JavaScript 的浏览器都会使用这个策略。如果缺少了同源策略,浏览
Springboot处理的方式(附Demo)
码农研究僧的博客
08-01 1748
指的是在一个下的网页试图访问另一个下的资源 由于浏览器的同源策略,默认情况下,JavaScript 只能在相同的中进行请求 通常涉及以下概念: Origin: 包括协议、名和端口号 比如 http://example.com:80 Same-Origin Policy: 浏览器的安全策略,限制一个源的文档或脚本如何能与另一个源的资源进行交互 CORS: 允许请求的机制 服务器通过设置特定的响应头来告知浏览器哪些源是允许访问的
SpringBoot解决问题
pan_junbiao的博客
09-29 1396
Spring Boot 项目中解决问题,主要可以通过以下几种方式来实现。使用 @CrossOrigin 注解,是 Spring 4.2 后引入的。这是解决问题最直接和简单的方法,@CrossOrigin 注解可以添加到类或者方法上,以允许请求。通过实现 WebMvcConfigurer 接口,并重写 addCorsMappings 方法来实现解决问题,这种方式提供了更灵活的配置选项,实现全局的配置。
java篇-Springboot解决问题的三种方式
qadnkz的专栏
04-17 588
或者类上添加@CrossOrigin。新建配置类CorsConfig,创建。
SpringBoot 中到底如何解决问题
segegefe的博客
08-02 612
同源策略是浏览器的一个重要的安全策略,它用于限制一个源的文档或其加载的脚本如何与另外一个源进行交互,它能够隔绝恶意文档,减少被攻击的媒介。如果两个URL的协议、主机名和端口号都是相同的,那么这两个URL就是同源的,否则不同源,不同源的访问就会出现问题,就会出现上面的错误。下表给出了与URLhttp的源进行对比的示例URL结果原因http同源只有路径不同https非同源协议不同http非同源端口号不同http非同源主机名不同也就是说当在http这个网站中向、和。...
SpringBoot 解决问题的 5 种方案!
热门推荐
m0_71777195的博客
09-13 3万+
问题的本质是浏览器为了保证用户的一种安全拦截机制,想要解决问题,只需要告诉浏览器“我是自己人,不要拦我”就行。它的常见实现方式有 5 种:通过注解实现局部、通过配置文件实现全局、通过 CorsFilter 对象实现全局、通过 Response 对象实现局部,通过 ResponseBodyAdvice 实现全局
解决 springboot请求问题
05-11
springboot做前后端分离,ajax请求问题后端分离:即将后端服务层与前端展示层分别开发和部署,因而产生两个需要打包发布的项目, 将两个分别部署后,前端再去请求后端就会产生请求的问题。 两种解决方案
+springboot+解决
12-07
springboot springboot解决问题+不同版本springboot解决问题
Spring Boot项目中解决问题(四种方式)
web17886480312的博客
03-10 1146
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
Spring Boot问题解决
null
04-28 1532
问题本质上是浏览器的行为,它的初衷是为了保证用户的访问安全,防止被恶意网站窃取数据。因此解决问题就只是需要告诉浏览器这是一个安全的请求就可以了,告诉浏览器“我是自己人”。缺点:只能实现局部,当一个项目中存在多个类时,需要给所有类上都添加此注解,比较麻烦。启动服务,访问页面,点击登录按钮,接口访问成功。那怎么告诉浏览器这是一个安全的请求呢?,点击登录按钮,如下所示,出现问题。通常问题使用以下6个方法解决。启动服务,然后直接本地双击打开。实现方式同3.5,不再赘述。优点:实现非常简单。
Spring Boot问题终极解决方案:8种方法全解(含网关、Nginx与动态配置)
最新发布
墨夶的博客
06-26 736
本文全面解析问题(CORS)的8种实战解决方案,涵盖应用层、网关层和代理层。在Spring Boot应用层提供5种方法:从局部注解@CrossOrigin、全局WebMvcConfigurer配置、CorsFilter过滤器,到动态校验和响应拦截增强。网关层介绍2种方案:Spring Cloud Gateway的全局配置和动态路由策略。最后讲解Nginx反向代理的处理。每种方案均附代码示例,并分析优缺点和适用场景,帮助开发者根据实际需求选择最优解。文章注重实战,适用于前后端分离开发中各种
问题springboot
03-10
### 解决Spring Boot项目中的问题 #### 方法一:使用`@CrossOrigin`注解 在控制器类或特定方法上应用`@CrossOrigin`注解可以轻松启用CORS支持。此方法适用于细粒度控制,即针对单个API端点指定允许的源、HTTP动词和其他参数。 ```java import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @CrossOrigin(origins = "http://example.com") @RestController public class MyController { @GetMapping("/greeting") public String greeting() { return "Hello, World!"; } } ``` 这种方法简单直观,适合于小型应用程序或是当只需要为少数几个接口开启时[^3]。 #### 方法二:通过配置类实现全局CORS设置 对于更复杂的场景或者是希望在整个应用范围内统一管理CORS策略的情况,则可以通过创建自定义的Web配置类来达到目的。这种方式能够提供更加灵活和强大的功能选项,比如设定多个允许的来源地址、调整缓存时间等。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://domain1.com", "http://domain2.com") .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") .maxAge(3600); } } ``` 上述代码片段展示了如何利用`addCorsMappings()`函数注册一个匹配所有路径(`/**`)的映射,并指定了两个合法的起源站点以及一系列可接受的操作类型[^2]。 另外,在某些特殊情况下,如需精确到IP地址级别的权限授予,需要注意填写完整的URL形式(包括协议头),并且确保格式正确无误;例如,对于位于局网内的服务器而言,应当采用形如`http://192.168.x.x:port`这样的表达方式[^5]。 综上所述,无论是采取局部性的`@CrossOrigin`标注还是构建全面覆盖的应用级过滤器方案,都能有效应对不同规模下的挑战并保障前后端交互的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值