Spring开发之拦截器解决跨域问题

本文介绍了跨域的概念及其触发条件,并提供了具体的解决方案,包括通过自定义拦截器实现CORS跨域支持的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

什么是跨域?

跨域访问就是A网站的javascript代码访问B网站,然后浏览器就会自动阻止对跨域的访问也包括对后端数据的增删查,其中遵循了浏览器的同源策略。

发生跨域的情况?

只要协议名、域名、端口之间任意一与当前页面不同就会引起跨域问题。
举例:前端使用(http://localhost)去调用后端接口服务(http://debo.com

解决方法

在实际开发中,可以使用CORS的方式,自己定义拦截器对开发测试环境解决跨域问题。

  • CORS方式:使用我们自己定义的拦截器进行统一设置实现解决跨域问题。

拦截器代码:

package com.doubleme.core.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpHeaders;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

/**
 * 
 * @ClassName CorsInterceptor
 * @Description 跨域拦截器
 * @Author DoubleME
 * @CreateTime 2017年9月21日 上午12:43:26
 *
 */
public class CorsInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, 
            HttpServletResponse response, Object handler) throws Exception {
        if (request.getHeader(HttpHeaders.ORIGIN) != null)
        {
            response.addHeader("Access-Control-Allow-Origin", "*");
            response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
            response.addHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
            response.addHeader("Access-Control-Max-Age", "3600");
        }
       return true;
    }

    /**
     * 在业务处理器处理请求执行完成后,生成视图之前执行的动作
     * 可在modelAndView中加入数据,比如当前时间
     */
    @Override
    public void postHandle(HttpServletRequest request, 
            HttpServletResponse response, Object handler, 
            ModelAndView modelAndView) throws Exception {
    }

    /**
     * 在DispatcherServlet完全处理完请求后被调用,可用于清理资源等
     * 当有拦截器抛出异常时,会从当前拦截器往回执行所有的拦截器的afterCompletion()
     */
    @Override
    public void afterCompletion(HttpServletRequest request, 
            HttpServletResponse response, Object handler, Exception ex) 
            throws Exception {
    }

}

springmvc.xml配置文件

    <mvc:interceptor>
            <!-- 匹配的是url路径, 如果不配置或/**,将拦截所有的Controller -->
            <!-- 先拦截所有 -->
            <mvc:mapping path="/**" />
            <!-- 跨域拦截器类 -->
            <bean class="com.doubleme.core.filter.CorsInterceptor"></bean>  
        </mvc:interceptor>
### 使用后端拦截器实现CORS资源共享解决方案 为了应对资源共享(CORS问题,可以采用基于Spring框架的后端拦截器方法。这种方法通过配置全局或特定路径上的过滤器来处理来自不同源的请求,从而有效地管理访问权限。 #### 配置全局CORS支持 在`WebConfig.java`文件中定义一个实现了`WebMvcConfigurer`接口的类,并重写其中的`addCorsMappings`方法: ```java import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") // 对所有API启用CORS支持 .allowedOrigins("*") // 允许任何名发起请求 .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 支持的方法类型 .maxAge(3600); // 设置预检请求的有效期为一小时 } } ``` 此设置适用于整个应用中的所有RESTful API接口[^1]。 对于更细粒度控制的需求,则可以在控制器级别上添加注解或者创建自定义的过滤器/拦截器来进行操作。 #### 创建自定义拦截器 如果希望仅针对某些URL模式实施特殊的CORS规则,那么应该考虑编写自己的拦截器。下面是一个简单的例子展示如何做到这一点: ```java import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @Component public class CorsFilter extends OncePerRequestFilter { private final String allowedOrigin = "http://example.com"; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { response.setHeader("Access-Control-Allow-Origin", allowedOrigin); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { filterChain.doFilter(request, response); } } } ``` 这段代码展示了如何构建一个能够响应带有指定头部信息的HTTP请求的过滤器实例。请注意,这里指定了具体的允许来源地址而不是使用通配符“*”。这是因为当启用了凭证共享(`allowCredentials=true`)的情况下不允许使用通配符作为允许的原点列表[^4]。 以上两种方式都可以很好地解决问题,具体选择取决于项目需求和个人偏好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值