SpringBoot 中实现跨域的5种方式

最新推荐文章于 2025-05-11 14:11:29 发布
最新推荐文章于 2025-05-11 14:11:29 发布
阅读量371 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010682330/article/details/117256018
本文介绍了SpringBoot中处理CORS跨域请求的五种方法:1) 使用CorsFilter;2) 重写WebMvcConfigurer接口;3) @CrossOrigin注解(局部跨域);4) 手动设置响应头;5) 自定义WebFilter。详细展示了每种方法的代码实现,适用于全局和局部跨域配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对于 CORS的跨域请求,主要有以下几种方式可供选择:
1、返回新的CorsFilter (全局跨域)

package com.cfit.framework.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter() {
	// 1. 添加 CORS配置信息
	CorsConfiguration config = new CorsConfiguration();
	// 放行哪些原始域
	config.addAllowedOrigin("*");
	// 是否发送 Cookie
	config.setAllowCredentials(true);
	// 放行哪些请求方式
	config.addAllowedMethod("*");
	// 放行哪些原始请求头部信息
	config.addAllowedHeader("*");
	// 暴露哪些头部信息
	config.addExposedHeader("*");
	// 2. 添加映射路径
	UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
	corsConfigurationSource.registerCorsConfiguration("/**", config);
	// 3. 返回新的CorsFilter
	return new CorsFilter(corsConfigurationSource);
    }
}

2、重写 WebMvcConfigurer (全局跨域)

package com.cfit.framework.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/**")
	// 是否发送Cookie
		.allowCredentials(true)
		// 放行哪些原始域
		.allowedOrigins("*").allowedMethods(new String[] { "GET", "POST", "PUT", "DELETE" }).allowedHeaders("*").exposedHeaders("*");
    }
}

3、使用注解 @CrossOrigin (局部跨域 springboot 2.4.x不支持这个策略) 允许可访问的域列表, 准备响应前的缓存持续的最大时间(以秒为单位),是否允许用户发送、处理 cookie

@CrossOrigin(origins = "*", maxAge = 3600,allowCredentials = "true")

4、手动设置响应头 (HttpServletResponse) (局部跨域)

    @RequestMapping("/index")
    public String index(HttpServletResponse response) {
	    response.addHeader("Access-Allow-Control-Origin", "*");
	    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
	    response.setHeader("Access-Control-Max-Age", "3600");
	    response.setHeader("Access-Control-Allow-Headers", "x-requested-with,content-type");
	    return "index";
    }

5、自定web filter 实现跨域 (全局跨域)

package com.cfit.framework.config;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebFilter("/*")
public class CorsConfig implements Filter {
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
	HttpServletResponse res = (HttpServletResponse) response;
	HttpServletRequest req = (HttpServletRequest) request;
	String origin = req.getHeader("Origin");
	if (!org.springframework.util.StringUtils.isEmpty(origin)) {
	    // 带cookie的时候,origin必须是全匹配,不能使用*
	    res.addHeader("Access-Control-Allow-Origin", origin);
	}
	res.addHeader("Access-Control-Allow-Methods", "*");
	String headers = req.getHeader("Access-Control-Request-Headers");
	// 支持所有自定义头
	if (!org.springframework.util.StringUtils.isEmpty(headers)) {
	    res.addHeader("Access-Control-Allow-Headers", headers);
	}
	res.addHeader("Access-Control-Max-Age", "3600");
	// cookie
	res.addHeader("Access-Control-Allow-Credentials", "true");
	// 处理options请求
	if (req.getMethod().toUpperCase().equals("OPTIONS")) {
	    return;
	}
	// 获取token
	// String auth = req.getHeader("Authorization");
	String auth = req.getHeader("token");
	chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }
}

 


 

springboot 解决方案
qq_36521848的博客
05-26 287
解析:当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为 原理:无论哪种方案,最终目的都是修改响应头,向响应头中添加浏览器所要求的数据,进而实现 访问的弊端: 1、无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB 2、无法接触非同源网页的 DOM 3、无法向非同源地址发送 AJAX 请求 1.返回新的 CorsFilter(全局,在任意配置类,返回一个 新的 CorsFIlter Bean ,并添加映射路径和具体的
Springboot如何实现
Blocking The Sky
08-17 739
名,端口,协议三者存在任意一项不同时就需要解决问题创建一个类实现 javax.servlet.Filter 接口,并在 doFilter 方法中设置响应头以实现。@WebFilter@Override// ...注意:使用 Filter 实现时,Filter 会拦截所有请求,而不仅仅是请求。因此,在设置响应头时需要谨慎,避免影响其他请求的正常处理。如果需要更细粒度的控制,可以考虑使用 @CrossOrigin 注解或拦截器来实现
springboot 支持
小灰~的博客
06-28 316
1.请求如下 公司前端页面请求地址为: https://www.api.xx.com/ java后端项目地址为: https://www.api.xx.com/ 当前端页面请求到java后端项目的时候,发生问题 报错信息如下 2.原因如下, 需要 资源共用(Cross-Origin Resource Sharing (CORS),是一种使用额外HTTP标头令目前浏览网站的使用者代理取得存取其他来源(网)伺服器特定资...
Spring Boot项目问题解决方案详解-五种方案(附实战代码)
最新发布
wek12345的博客
05-11 837
allowCredentials(true)时,不能使用allowedOrigins("*"),需改为allowedOriginPatterns("*")或指定具体名。.allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的HTTP方法。前端运行在 http://localhost:8080,后端接口在 http://localhost:9090,此时浏览器会拦截请求。registry.addMapping("/**") // 所有接口。
SpringBoot
gaohuanjie的专栏
08-15 715
什么是?由于浏览器的安全性限制,不允许前端页面访问协议不同、名不同、端口号不同的http接口,例如我本地创建一个html......
前后端分离问题的解决方案
weixin_44192363的博客
07-19 1970
package com.huaxin.wenjuan.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConf
Spring Boot 设置允许请求
青藤光年的博客
09-15 635
在Spring Boot项目中添加配置类 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import or...
SpringBoot实现5方式.pdf
05-21
本文档介绍了在SpringBoot应用中实现资源共享的5方式,包括使用CorsFilter、重写WebMvcConfigurer、使用注解@CrossOrigin、手动设置响应头以及在SpringBoot 2.4.x中对@CrossOrigin的支持情况。 首先,通过...
Springboot处理CORS请求的三种方法
08-19
无论选择哪种方式,核心都是通过设置`Access-Control-Allow-*`响应头来告诉浏览器允许哪些请求。了解这些方法后,开发者可以更好地处理Web应用中的问题,确保数据能在不同源之间安全地传递。
解决springboot实现session共享问题
01-25
为了实现session共享,我们可以使用例如Redis或Memcached这样的分布式缓存来存储session。首先,需要添加相应的依赖到`pom.xml`或`build.gradle`文件中,然后配置Spring Boot的session存储机制: ```java @...
解决Vue调用springboot接口403问题
10-16
如果需要在Spring Boot应用中进行全局配置,可以通过编写一个配置类来实现。 1. **全局CORS配置示例**: ```java import org.springframework.context.annotation.Bean; import org.springframework.context....
spring boot 问题
hyhanyu的博客
12-10 361
spring boot  官网一般的解决方案 有2个: 1.添加拦截器  @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*","null") ...
Spring Boot 配置
邱健的博客
12-01 345
用webstorm打开前端页面,报方式1:写个配置类 package com.blogspring.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springfr...
springboot
qq_44132240的博客
07-13 161
以及解决方式为什么要有保护?过滤器解决注解方式 是指从一个名的网页去请求另一个名的资源。比如从www.baidu.com 页面去请求 www.google.com 的资源。的严格一点的定义是:只要 协议,名,端口有任何一个的不同,就被当作是 为什么要有保护? 原因就是安全问题:如果一个网页可以随意地访问另外一个网站的资源,那么就有可能在客户完全不知情的情况下出现安全问题。比如下面的操作就有安全问题:用户访问www.mybank.com ,登陆并进行网银操作,这时coo
前后端分离,后端用springboot遇到的问题
weixin_34025051的博客
03-06 437
对于前后端分离的项目来说,如果前端项目与后端项目部署在两个不同的下,那么势必会引起问题的出现。 什么是,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。简单来说就是不同名之间相互访问 同源策略:请求的url地址,必须与浏览器上的url地址处于同上...
springboot
u013401975的博客
09-17 277
要了解,首先呢先了解下同源策略,然后再AJAX访问被禁止的原因,最后实现的解决方式。 同源策略 同源策略(Same Origin Policy,SOP)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 所谓同源是指【协议+名+端口】相同。 当一个浏览器的两个tab页中分别打开百度和谷歌的页面时,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,
springboot解决5方式
02-28
### Spring Boot 中解决 CORS 请求的五种方法 #### 方法一:使用 `@CrossOrigin` 注解 在 Controller 类或具体的方法上添加 `@CrossOrigin` 注解,能够快速有效地处理问题。该注解支持设置多个参数,如允许的源地址、HTTP 方法以及自定义头部。 ```java @RestController @RequestMapping("/api") public class MyController { @CrossOrigin(origins = "http://example.com", methods = {RequestMethod.GET, RequestMethod.POST}) @GetMapping("/data") public String getData() { return "Data"; } } ``` 这种方法适用于小型项目中的单个接口或少数几个接口[^1]。 #### 方法二:通过配置类实现全局 CORS 支持 创建一个继承自 `WebMvcConfigurer` 的配置类,并重写其中的相关方法来指定全局范围内的策略。 ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*"); } } ``` 这种方式适合于大型项目的统一管理需求[^3]。 #### 方法三:利用 Filter 进行拦截并响应预检请求 编写自定义过滤器,在每次 HTTP 请求到达之前对其进行检查;对于 OPTIONS 预检请求,则返回合适的响应头信息以告知客户端服务器端愿意接受来自任何地方的连接尝试。 ```java @Component public class SimpleCORSFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { filterChain.doFilter(req, res); } } } ``` 这种做法灵活性较高,尤其当需要更细粒度地控制哪些路径应该被允许时非常有用。 #### 方法四:基于 Security Config 实现安全上下文下的 CORS 控制 如果应用程序已经集成了 Spring Security 组件,则可以在其基础上进一步增强安全性的同时也完成对 CORS 行为的规定: ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and() .csrf().disable(); } @Bean CorsConfigurationSource corsConfigurationSource() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); // 是否允许发送Cookie凭证信息,默认false config.addAllowedOriginPattern("*"); // 允许所有的名访问 config.setMaxAge(3600L); // 设置缓存时间(秒) config.addAllowedHeader("*"); // 允许所有类型的header字段 config.addAllowedMethod("*"); // 允许所有的Http Method source.registerCorsConfiguration("/**", config); return source; } } ``` 这有助于确保即使启用了严格的认证机制也不会影响到正常的站资源共享操作。 #### 方法五:借助第三方库简化 CORS 处理逻辑 除了上述四种内置方式外,还可以考虑引入专门针对 RESTful API 设计的开源工具包——例如 spring-cloud-starter-gateway 或者 resilience4j-circuitbreaker ——它们往往自带完善的 CORS 解决方案,从而减少开发者自行编码的工作量。 以上就是关于如何在 Spring Boot 应用程序内有效应对 CORS 问题的主要途径概述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值