@CrossOrigin 跨域介绍

最新推荐文章于 2025-09-17 22:40:40 发布
原创 最新推荐文章于 2025-09-17 22:40:40 发布 · 709 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot

@CrossOrigin 是Spring框架提供的一种注解,主要用于处理跨域请求(CORS,Cross-Origin Resource Sharing)。跨域问题是由浏览器的同源策略造成的,即浏览器出于安全考虑,限制了一个源(origin)的文档或脚本与来自另一个源的资源进行交互。这里的“源”指的是协议、域名和端口的三元组。

@CrossOrigin 注解的作用

@CrossOrigin 注解可以应用于Controller类或方法上,用于指定哪些来源的跨域请求被允许。通过该注解,开发者可以灵活地配置CORS策略,而无需编写额外的过滤器或拦截器代码。

使用方法

1. 在Controller类上使用:当在Controller类上添加@CrossOrigin注解时,该类中的所有方法都将支持跨域请求。可以指定允许的源(origins)、请求方法(methods)、请求头(headers)等。

@RestController  
@CrossOrigin(origins = "http://example.com", methods = "*")  
public class MyController {  
    // 控制器方法  
}

2. 在Controller方法上使用:当在特定的方法上添加@CrossOrigin注解时,只有该方法支持跨域请求。这允许开发者对不同的方法应用不同的CORS策略。

@RestController  
public class MyController {  

    @CrossOrigin(origins = "http://example.com", methods = "GET")  
    @GetMapping("/hello")  
    public String hello() {  
        return "Hello, world!";  
    }  

    // 其他方法可能不支持跨域  
}

配置选项

@CrossOrigin 注解支持多种配置选项,包括但不限于:

  • origins:允许访问的源列表,可以使用通配符“*”表示接受所有源。
  • methods:允许的HTTP方法,如GET、POST、PUT等,也可以使用“*”表示接受所有方法。
  • allowedHeaders:允许携带的请求头列表。
  • exposedHeaders:响应中需要暴露给客户端的头部列表。
  • allowCredentials:是否允许携带凭证(如Cookies和HTTP认证信息),默认为false。当设置为true时,Access-Control-Allow-Origin不能设置为“*”,必须明确指定允许的源。
  • maxAge:预检请求的结果(即Access-Control-Allow-Methods和Access-Control-Allow-Headers等信息)可以被缓存的最大时间,以秒为单位。

注意事项

  • 在使用@CrossOrigin注解时,需要确保Spring MVC的版本在4.2及以上,因为Spring Framework 4.2 GA为CORS提供了第一类支持。
  • 如果在Spring Security环境中使用@CrossOrigin注解,需要确保在Spring Security级别也启用了CORS,并允许它利用Spring MVC级别定义的配置。
  • 在生产环境中,建议明确指定允许的源,而不是使用“*”通配符,以提高安全性。

结论

@CrossOrigin 注解是Spring框架提供的一种强大而灵活的工具,用于处理跨域请求。通过简单的注解配置,开发者可以轻松地实现CORS策略,提高Web应用程序的可用性和安全性。

@CrossOrigin 解决资源共享(CORS)问题
q322359的博客
10-11 577
问题通常发生在当一个网页尝试通过 AJAX 请求访问与该网页不同源(协议、名或端口不同)的资源时。由于浏览器的同源策略限制,这种请求会被阻止。注解可以告诉 Spring 框架,允许来自不同源的请求访问特定的控制器方法或整个控制器。是一个 Spring 框架提供的注解,用于解决。
@CrossOrigin注解解决问题
西敏寺的乐章的博客
04-14 1656
,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。http://www.123.com/index.html 调用 http://www.123.com/server.PHP (非)http://123.com/index.html 调用http://456.com/server.php (主名不同:123/456,
@CrossOrigin的作用
最新发布
zwh1zwh的博客
09-17 989
这是一个由浏览器的同源策略引起的安全机制。​同源​:指的是两个页面的协议、名、端口三者完全相同。​​:只要协议、名、端口中有任何一个不同,就是。例如,你的前端应用跑在,而后端 API 部署在。虽然名都是localhost,但端口不同(3000 vs 8080),浏览器就会认为这是请求。出于安全考虑,浏览器默认会阻止这种请求发出的响应被前端 JavaScript 代码读取(尤其是带有认证信息的请求)。方面解释​是什么​。
Spring学习笔记_50——@CrossOrigin
LuckyLay的博客
11-25 4636
CrossOriginSpring Framework中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题。
@CrossOriginSpring框架中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题。
wangqiaowq的博客
04-30 842
Spring框架中的一个注解,用于处理资源共享(Cross-Origin Resource Sharing, CORS)问题。在Web应用开发中,出于安全原因,浏览器实施了同源策略(Same-origin policy),这一策略限制了从一个源加载的Web页面脚本与来自不同源的资源交互。当你在一个控制器类或具体处理方法上使用此注解时,Spring会自动在HTTP响应头中添加适当的CORS相关头部信息,如。)发送AJAX请求,浏览器会阻止这个请求,除非服务器端明确允许此类请求。
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 11万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、(CORS)支持: Spring Framework
Spring @CrossOrigin 注解原理实现
08-18
在本文中,我们将详细介绍 Spring @CrossOrigin 注解的原理实现。 一、什么是请求? 请求是指从一个名下的页面请求另一个名下的资源。这种请求会受到浏览器的同源策略限制,导致请求失败。解决请求...
Controller类明明写了@CrossOrigin注解,但还是有问题
m0_74462339的博客
06-01 1009
不过,这只能暂时解决该问题,毕竟过滤器还是要用的,后续我再探索一下。此时,先注释掉过滤器注解,让其不生效,就可以避免干扰处理了。可能是写的过滤器干扰到了处理。
@CrossOrigin解决问题
06-22
使用@CrossOrigin注解解决前后台分离中的问题
解决前后端分离,加上@CrossOrigin之后Session却不能共享的问题
lalala323的博客
12-20 1727
解决前后端分离,加上@CrossOrigin之后Session却不能共享的问题 一 问题描述 因为有问题,所以当我使用@CrossOrigin解决之后,惊奇的发现Session竟然不能共享,wa!!!咋整啊,在网上找到了解决办法 二 解决办法 老版 @CrossOrigin(allowCredentials="true", allowedHeaders="*") 新版 @CrossO...
注解 @CrossOrigin
青苔小榭
08-17 4万+
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理请求的注解 先来说一下什么是: (站在巨人的肩膀上) ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系...
【注解】 @CrossOrigin
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
04-07 3256
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? @CrossOrigin是用来处理请求的注解 ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。     
Java注解篇:@CrossOrigin
05-18 2350
@CrossOrigin 是一个简单但非常实用的注解,极大简化了配置,特别适合前后端分离架构下的 API 接口服务。
@CrossOrigin注解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
10-15 404
在Web应用程序中,如果JS代码试图从一个名获取来自不同名的资源,这将会触发浏览器的同源策略,从而导致浏览器阻止请求。使用下面的注解可以允许浏览器绕过同源策略,从而允许请求!该注解可以接解决请求的问题@CrossOrigin。可以用在方法上或者类上。
使用@CrossOrigin实现请求
tengxvincent的博客
07-15 1万+
Spring MVC4.2之后推出了@CrossOrigin注解来解决问题,而在4.2之前我们都是通过定义注册过滤器的方式来解决与问题的,所以在Spring4.2以后使用@CrossOrigin能一定程度上的简化解决问题的方式。接下来我们就来介绍@CrossOrigin方式以及使用时的一些注意点@CrossOrigin 会启用CORS  控制器方法CORS配置因此,RESTful W...
@CrossOrigin注解与访问
weixin_30235225的博客
01-21 910
在Controller中看到@CrossOrigin ,这是什么?有什么用?为什么要用? what? @CrossOrigin是用来处理请求的注解 先来说一下什么是: (站在巨人的肩膀上) ,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。 所谓同源是指,名,协议,端口均相同,不明白没关系...
spring@CrossOrigin注解学习
一个写了10年bug的程序员日常笔记。
05-17 1891
Spring Framework 中的一个注解,用于处理资源共享(CORS)问题。CORS 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的、协议或端口请求一个资源时,资源会发起一个 HTTP 请求。methods: 指定允许的 HTTP 请求方法。默认情况下,如果没有指定,那么所有方法都是被允许的。可以指定如等。value与origins。
@CrossOrigin注解的讲解
u010055960的博客
02-27 1309
Spring 框架提供的一个注解,用于简化资源共享(CORS)的配置。它可以直接应用于控制器类或方法上,从而允许指定的请求。以下是关于。
CrossOrigin
L__MY的博客
07-13 570
是什么? 浏览器从一个名的网页去请求另一个名的资源时,名、端口、 协议任一不同,都是 。我们是采用前后端分离开发的,也是前后端分离部署的,必然会存在问题。 怎么解决?很简单,只需要在controller类上添加注解@CrossOrigin 即可!这个注解其实是CORS的实现。 CORS(Cross-Origin Resource Sharing, 源资源共享)是W3C出的一...
springboot请求@CrossOrigin
07-09
### `@CrossOrigin` 注解在 Spring Boot 中的使用方法 在 Spring Boot 应用中,`@CrossOrigin` 是一个用于解决请求问题的注解。它允许指定哪些源可以访问特定的控制器方法或整个控制器类。该注解可以应用于方法级别或类级别,并提供多个参数以进行细粒度控制。 #### 基本语法 ```java @CrossOrigin(origins = "http://example.com", maxAge = 3600) @GetMapping("/getinfos") public ResponseEntity getInfos() { return ResponseEntity.ok(userService.getInfos()); } ``` - **origins**:指定允许访问的源(名、IP 地址等),例如 `"http://example.com"`。若设置为 `"*"`,则表示允许所有源访问[^2]。 - **maxAge**:预检请求(preflight request)的结果缓存时间(单位:秒)。默认值为 1800 秒(30 分钟),若设置为 3600,则浏览器会在一小时内不再发送预检请求[^4]。 - **allowedHeaders**:定义请求头中允许的字段,默认支持所有请求头。若需要限制某些字段,可显式声明,如 `{"Content-Type", "Authorization"}`。 - **exposedHeaders**:指定响应头中允许暴露给客户端的字段。默认为空,若需传递自定义头信息,应在此处声明。 - **methods**:指定允许的 HTTP 方法,例如 `{RequestMethod.GET, RequestMethod.POST}`。若未指定,则默认支持所有方法。 - **allowCredentials**:是否允许发送凭据(如 Cookie)。默认为 `true`,但若要启用此功能,必须明确指定具体的源,不能使用 `"*"`[^4]。 #### 在方法上使用 `@CrossOrigin` 可以在某个具体的请求处理方法上添加该注解,仅对该方法生效。例如: ```java @CrossOrigin(origins = "*", maxAge = 3600) @GetMapping("/getinfos") public ResponseEntity getInfos() { return ResponseEntity.ok(userService.getInfos()); } ``` 此配置表示 `/getinfos` 接口允许来自任意源的 GET 请求,并且预检请求的有效期为 1 小时[^2]。 #### 在类上使用 `@CrossOrigin` 如果某个控制器类下的所有方法都需要相同的策略,可以直接将注解加在类上: ```java @RestController @CrossOrigin(origins = "http://example.com", allowCredentials = "true") public class UserController { @GetMapping("/users") public List<User> getAllUsers() { return userService.findAll(); } @PostMapping("/users") public User createUser(@RequestBody User user) { return userService.save(user); } } ``` 以上代码表示 `UserController` 中的所有接口都只接受来自 `http://example.com` 的请求,并允许携带凭证[^3]。 #### 全局配置 CORS 尽管 `@CrossOrigin` 可以满足局部需求,但如果希望在整个应用中统一管理策略,可以通过实现 `WebMvcConfigurer` 接口来配置全局 CORS 规则: ```java @Configuration @EnableWebMvc public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("*") .allowedMethods("GET", "POST", "PUT", "DELETE") .maxAge(3600) .allowCredentials(true); } } ``` 该配置表示所有路径为 `/api/**` 的接口都允许请求,支持常见的 HTTP 方法,并启用凭据共享[^1]。 #### 注意事项 - 当同时存在 `@CrossOrigin` 注解和全局 CORS 配置时,注解的优先级更高。 - 避免在生产环境中无条件地使用 `origins = "*"` 和 `allowCredentials = "true"`,因为这可能带来安全风险。应根据实际业务需求设定具体来源。 - 某些旧版本浏览器对 CORS 支持有限,特别是涉及复杂请求(如带有自定义头部的请求)时,需确保客户端环境兼容。 ### 相关问题 1. 如何在 Spring Boot 中配置全局 CORS 策略? 2. 使用 `@CrossOrigin` 注解时如何控制允许的请求头和响应头? 3. `@CrossOrigin` 注解是否支持 HTTPS 请求?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值