浏览器的同源策略及springboot中CORS跨域解决方案

最新推荐文章于 2025-05-24 09:38:46 发布
最新推荐文章于 2025-05-24 09:38:46 发布
阅读量357 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: spring boot 文章标签: springboot cors跨域 同源策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rerwr1rrr/article/details/99167136
本文深入解析了同源策略的基本概念,解释了为何它对于网页安全至关重要,并详细介绍了CORS(跨域资源共享)机制如何帮助解决跨域请求的问题。通过实际案例,展示了SpringBoot中如何配置全局跨域。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个源的定义

源= 协议+域名+端口(如果有指定),比如https://192.166.10.77:8080,这里https是协议,192.166.10.77是域名,8080是端口

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的

举个例子:

下表给出了相对http://a.xyz.com/dir/page.html同源检测的示例: 

URL结果原因
http://a.xyz.com/dir2/other.html成功 
http://a.xyz.com/dir/inner/another.html成功 
https://a.xyz.com/secure.html失败不同协议 ( https和http )
http://a.xyz.com:81/dir/etc.html失败不同端口 ( 81和80)
http://a.opq.com/dir/other.html失败不同域名 ( xyz和opq)

同源策略

同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。

同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

假设我们在登陆支付宝网站的时候,会将登陆信息保存在cookie中,如果我们点击到一个木马网站,如果不存在同源策略的安全保护的话,这个网站能够直接获取我们的cookie,再去登陆支付宝网站,那么你的财产将处于危险的状态。

 

CORS解决跨域问题

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器发出XMLHttpRequest请求,从而解决AJAX只能同源使用的限制。

CORS简介

CORS需要浏览器和服务器同时支持。目前基本上主流的浏览器都支持CORS。所以只要后端服务支持CORS,就能够实现跨域。

springboot 解决方法

因为现在流行前后端分离的项目,前端和后端的源不相同,因此我们在使用springboot时,需要在后端进行全局跨域配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * 全局跨域配置
 */
@Configuration
public class GlobalCorsConfig {

    /**
     * 允许跨域调用的过滤器
     */
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        //允许所有域名进行跨域调用
        config.addAllowedOrigin("*");
        //允许跨越发送cookie
        config.setAllowCredentials(true);
        //放行全部原始头信息
        config.addAllowedHeader("*");
        //允许所有请求方法跨域调用
        config.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
            return new CorsFilter(source);
        }
    }

好了,前端就能正常访问后端了。

Spring Boot问题解决方案:轻松突破浏览器同源策略的限制
u013558123的博客
04-11 596
问题是Web开发中常见的问题,Spring Boot提供了多种解决方案。通过本文的介绍和示例代码,相信你已经掌握了在Spring Boot中解决问题的方法。在实际开发中,选择合适的解决方案可以帮助你轻松突破浏览器同源策略限制,实现请求。
SpringBoot笔记20】SpringBoot问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
11-01 2413
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
踩坑录- Spring Boot - CORS - 浏览器同源策略
weixin_34127717的博客
06-21 267
1、解决办法,创建一个过滤器,处理所有response响应头 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; im...
Springboot 全局CORS问题
最新发布
m0_64473908的博客
05-24 229
CORS,全称是资源共享 (Cross-origin resource sharing)一般只要增加 registry.addMapping("/user/*") 即可。三者之间任意一个与当前页面url不同即为。使用 @CrossOrigin 注解即可。注意:是在服务提供者里要支持请求。主名不同(test/baidu)协议不同(http/https)端口号不同(8080/7001)同源(协议、名、端口号相同)子名不同(www/blog)
SpringBoot ~ 同源策略配置
简单点
06-07 1118
同源策略配置 ​ CROS(Cross-Origin Resource Sharing)是由W3C制定的一种资源共享技术标准,其目的就是为了解决前端的请求。 SpringBoot配置有2种方式,一是方法注解配置,二是全局配置 注解配置 @RestController @RequestMapping("/cors") public class RestfulCorsController { @RequestMapping("/") @CrossOrigin(value =
spring boot 同源策略filter
悟海识天下的博客
09-27 996
鸡汤喝多了,说话都带鸡汤味了......
同源策略解决方案
qq_40634920的博客
11-20 275
1.什么是同源策略?             答:同源策略,它是由Netscape提出的一个著名的安全策略,同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 2.同源策略会产生一个的问题,名不同,子名不同、端口不同、协议不同、ip和名都会引起,...
SpringbootCORS处理实现原理
08-19
本文主要介绍了 Springboot CORS 处理实现原理,通过示例代码详细讲解了问题产生、解决方案和实现原理,对大家的学习或者工作具有一定的参考学习价值。 一、源(Origin) 在 HTTP 协议中,每个 URL 由三...
Springboot配置CORS问题
weixin_44329984的博客
08-18 1169
通过Springboot配置CORS问题处理。
SpringBoot 问题的解决方案
08-25
在本文中,我们将讨论 SpringBoot 问题的解决方案,这个问题是指浏览器从一个名的网页取请求另一个名下的东西,通俗点说,浏览器直接从 A 访问 B 中的资源是不被允许的。如果想要访问,就需要进行一步...
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2837
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
同源策略springboot方式
QQ563627436的博客
07-09 825
同源策略 一、什么是同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略会阻止一个的javascript脚本和另一个的内容进行交互。 所谓同源(即指在同一个)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)。 二、什么是 当一个请求url的协议、名、端口三者
Sprint Boot解决越问题及谷歌浏览器关闭同源策略
toyong的博客
07-17 822
在前后端分离的情况下,经常会遇到问题,他是由浏览器同源策略造成的,是浏览器对JavaScript施加的安全措施。如果你的后端是基于Java的SprintBoot项目你可以使用下面的方法。需要注意的是SprintBoot的版本不同,配置也会略有差异。...
20191128 Java Web知识之浏览器同源策略机制及资源共享机制
LLLLEE 的博客
11-28 449
本文介绍的是工作中常见的问题,问题是由于浏览器同源策略机制,而要解决问题,可以通过资源共享机制,来绕开同源策略
同源策略讲解
weixin_54574094的博客
12-04 2015
在学习同源策略时,我们必须要再次明确浏览器和服务器等关系。浏览器发起请求,服务器接收请求并返回响应。而同源策略浏览器的安全策略。就相当于浏览器的门,服务器是主人。门是有锁(同源策略)的,只有有钥匙🔑的人才可以进门(也就是问题,就是进门问题)。那钥匙是谁给的呢?就是服务器给的,所以配置资源共享就是服务器配置的。服务器定义了只有哪些网络连接可以访问我的服务器,举个例子:www.baidu.com访问不了谷歌的服务器。
Java Demo示例:Springboot解决Access-Control-Allow-Origin问题、浏览器同源策略详解
热门推荐
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。...
SpringBoot3解决请求问题(同源策略、JSONP、CORS策略)(Access-Control-Allow-Origin)(2025详细教程)
岁岁岁平安的博客
03-28 1106
本篇博客内容:详细讨论与讲解了如何使用前端技术JSP或Vue3实现Ajax的请求后端SpringBoot服务器。涉及方法:JSONP、注解@CorssMapping。配置类实现WebMvcConfigurer接口或实现配置类返回CorsFilter资源共享拦截器对象(注解@Configuration、@Bean)...
浏览器同源策略
php_dandan的博客
12-04 479
同源策略,它是由Netscape提出的一个著名的安全策略。 现在所有支持JavaScript 的浏览器都会使用这个策略。 所谓同源是指,名,协议,端口相同。 当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面 当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的, 即检查是否同源,只有和百度同源的脚本才会被执行。 [1] 如果非同源,那么在请求数据时,浏览器会在控制台中报...
浏览器同源策略
积累,在于坚持
01-17 440
同源: 协议相同名相同端口相同 本脚本只能读写本内的资源,无法访问其他的资源。 现代浏览器在安全性和可用性之间选择了一个平衡点,在遵循同源策略的基础上,选择性的未同源策略”开放了后门“。img、script、style等标签,都允许引用资源,严格说这都是不符合同源要求的。然而,也只是引用而已,并不能读取这些资源的内容。这些带有“src”属性的标签每次加载的时候,实际上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值