【SpringBoot教程】SpringBoot 实现前后端分离的跨域访问(CORS)

news2024/11/20 7:16:36
作者简介:大家好,我是撸代码的羊驼,前阿里巴巴架构师,现某互联网公司CTO

联系v:sulny_ann(17362204968),加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

# 序言

跨域资源共享向来都是热门的需求,使用CORS可以帮助我们快速实现跨域访问,只需在服务端进行授权即可,无需在前端添加额外设置,比传统的JSONP跨域更安全和便捷。

一、基本介绍

简单来说,CORS是一种访问机制,英文全称是Cross-Origin Resource Sharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin 即可。

1. CORS工作原理

CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个"预检"请求,待服务器批准后才能真正发起跨域访问请求。

来自维基百科

根据官方文档W3C规范-CORS 的描述,目前CORS使用了如下头部信息:

2. Request Headers(请求头)

温馨提示:Request Headers 无需人为干预,因为浏览器会自动识别跨域请求并添加对应的请求头。

  • Origin 表示发起跨域请求的原始域。

  • Access-Control-Request-Method 表示发起跨域请求的方式,例如GET/POST。

  • Access-Control-Request-Headers表示发起跨域请求的额外头信息。

3. Response headers(响应头 )

温馨提示:Response Headers 需要人为干预,通过设置响应头以帮助服务器资源进行跨域授权,例如允许哪些原始域进行跨域请求,是否允许响应信息携带Cookie等认证信息。

  • Access-Control-Allow-Origin 表示允许哪些原始域进行跨域访问。

  • Access-Control-Allow-Credentials表示是否允许客户端获取用户凭据。

使用场景:例如现在需要登录系统后才能发起跨域请求,并且要附带Cookie信息给服务器。则必须具备两个条件:

1. 浏览器端:发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。

2.服务器端:设置Access-Control-Allow-Credentials为true。两个条件缺一不可,否则即使服务器同意发送Cookie,浏览器也无法获取。

正确姿势如下:

$.ajax({    url: 'localhost:8080',    xhrFields: {        withCredentials: true //表示发起跨域访问并要求携带Cookie等认证信息    },    success: function (r) {        console.log(r)    }});
 

有好奇的小伙伴可能会问为什么在W3C手册中找不到跨域属性xhrFields的描述,因为该属性并不是通信对象XHR的默认属性,而是自定义属性,所以在jQuery Ajax 参考手册 中并没有明确注明,但我们可以在jQuery源码中找到这段蛛丝马迹,那么整体思路就很清晰了。

​​​​​​​

// Cross domain only allowed if supported through XMLHttpRequest    if ( support.cors || xhrSupported && !options.crossDomain ) {        return {            send: function( headers, complete ) {                var i,                    xhr = options.xhr();
                xhr.open(                    options.type,                    options.url,                    options.async,                    options.username,                    options.password                );
                // Apply custom fields if provided                if ( options.xhrFields ) {                    for ( i in options.xhrFields ) {                        xhr[ i ] = options.xhrFields[ i ];                    }                }           ...    }
 
  • Access-Control-Allow-Methods 表示允许哪些跨域请求的提交方式。(例如GET/POST)

  • Access-Control-Allow-Headers  表示跨域请求的头部的允许范围。

  • Access-Control-Expose-Headers 表示允许暴露哪些头部信息给客户端。

    使用说明:基于安全考虑,如果没有设置额外的暴露,跨域的通信对象XMLHttpRequest只能获取标准的头部信息。

  • Access-Control-Max-Age 表示预检请求 [Preflight Request] 的最大缓存时间。

二、CORS实现跨域访问

授权方式

  • 方式1:返回新的CorsFilter

  • 方式2:重写WebMvcConfigurer

  • 方式3:使用注解(@CrossOrigin)

  • 方式4:手工设置响应头(HttpServletResponse )

注:CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持,对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过,使用SpringMVC4.2 以下版本的小伙伴也不用慌,直接使用方式4通过手工添加响应头来授权CORS跨域访问也是可以的。附:在SpringBoot 1.2.8 + SpringMVC 4.1.9 亲测成功。

注:方式1和方式2属于全局CORS配置,方式3和方式4属于局部CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则,所以可以通过@CrossOrigin注解来进行细粒度更高的跨域资源控制。

1. 返回新的CorsFilter(全局跨域)

在任意配置类,返回一个新的CorsFilter Bean,并添加映射路径和具体的CORS配置信息。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {    @Bean    public CorsFilter corsFilter() {        //1.添加CORS配置信息        CorsConfiguration config = new CorsConfiguration();          //放行哪些原始域          config.addAllowedOrigin("*");          //是否发送Cookie信息          config.setAllowCredentials(true);          //放行哪些原始域(请求方式)          config.addAllowedMethod("*");          //放行哪些原始域(头部信息)          config.addAllowedHeader("*");          //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)          config.addExposedHeader("*");
        //2.添加映射路径        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();        configSource.registerCorsConfiguration("/**", config);
        //3.返回新的CorsFilter.        return new CorsFilter(configSource);    }}

 

2. 重写WebMvcConfigurer(全局跨域)

在任意配置类,返回一个新的WebMvcConfigurer Bean,并重写其提供的跨域请求处理的接口,目的是添加映射路径和具体的CORS配置信息。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {    @Bean    public WebMvcConfigurer corsConfigurer() {        return new WebMvcConfigurer() {            @Override            //重写父类提供的跨域请求处理的接口            public void addCorsMappings(CorsRegistry registry) {                //添加映射路径                registry.addMapping("/**")                        //放行哪些原始域                        .allowedOrigins("*")                        //是否发送Cookie信息                        .allowCredentials(true)                        //放行哪些原始域(请求方式)                        .allowedMethods("GET","POST", "PUT", "DELETE")                        //放行哪些原始域(头部信息)                        .allowedHeaders("*")                        //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)                        .exposedHeaders("Header1", "Header2");            }        };    }}
 

3. 使用注解(局部跨域)

在方法上(@RequestMapping)使用注解 @CrossOrigin :

​​​​​​​

    @RequestMapping("/hello")    @ResponseBody    @CrossOrigin("http://localhost:8080")     public String index( ){        return "Hello World";    }
 

或者在控制器(@Controller)上使用注解 @CrossOrigin :

​​​​​​​

@Controller@CrossOrigin(origins = "http://xx-domain.com", maxAge = 3600)public class AccountController {
    @RequestMapping("/hello")    @ResponseBody    public String index( ){        return "Hello World";    }}
 

4. 手工设置响应头(局部跨域 )

使用HttpServletResponse对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里Origin的值也可以设置为"*" ,表示全部放行。

​​​​​​​

    @RequestMapping("/hello")    @ResponseBody    public String index(HttpServletResponse response){        response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");        return "Hello World";    }
 

三、测试跨域访问

首先使用 Spring Initializr 快速构建一个Maven工程,什么都不用改,在static目录下,添加一个页面:index.html 来模拟跨域访问。

​​​​​​​

<!DOCTYPE html><html lang="en"><head>    <meta charset="UTF-8"/>    <title>Page Index</title></head><body><h2>前台系统</h2><p id="info"></p></body><script src="webjars/jquery/3.2.1/jquery.js"></script><script>    $.ajax({        url: 'http://localhost:8090/hello',        type: "POST",        xhrFields: {           withCredentials: true //允许跨域认证        },        success: function (data) {            $("#info").html("跨域访问成功:"+data);        },        error: function (data) {            $("#info").html("跨域失败!!");        }    })</script></html>
 

然后创建另一个工程,在Root Package添加Config目录并创建配置类来开启全局CORS。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {
    @Bean    public WebMvcConfigurer corsConfigurer() {        return new WebMvcConfigurer() {            @Override            public void addCorsMappings(CorsRegistry registry) {                registry.addMapping("/**");            }        };    }}
 

接着,简单编写一个Rest接口 ,并指定应用端口为8090。

​​​​​​​

package com.hehe.yyweb;
@SpringBootApplication@RestControllerpublic class YyWebApplication {
    @Bean    public TomcatServletWebServerFactory tomcat() {        TomcatServletWebServerFactory tomcatFactory = new TomcatServletWebServerFactory();        tomcatFactory.setPort(8090); //默认启动8090端口        return tomcatFactory;    }
    @RequestMapping("/hello")    public String index() {        return "Hello World";    }
    public static void main(String[] args) {        SpringApplication.run(YyWebApplication.class, args);    }}
 

最后分别启动两个应用,然后在浏览器访问:http://localhost:8080/index.html ,可以正常接收JSON数据,说明跨域访问成功!!

尝试把全局CORS关闭,或者没有单独在方法或类上授权跨域,再次访问:http://localhost:8080/index.html 时会看到跨域请求失败!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1302220.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

分布式锁实现方案 - Lock4j 使用

一、Lock4j 分布式锁工具 你是不是在使用分布式锁的时候&#xff0c;还在自己用 AOP 封装框架&#xff1f;那么 Lock4j 你可以考虑一下。 Lock4j 是一个分布式锁组件&#xff0c;其提供了多种不同的支持以满足不同性能和环境的需求。 立志打造一个简单但富有内涵的分布式锁组…

云贝教育 | 分享课:12月12日周二晚Oracle分享课享来了

Oracle 19c OCM分享课分享主题: Introduction to Clusterware 讲师&#xff1a;郭一军 直播分享平台&#xff1a;云贝教育视频号 时间&#xff1a;12月12日 周二晚 19: 30

物联网平台:网络调试助手+HTTP+上传数据到onenet

目录 onenet设备初始化 获取设备id和密钥key 尝试上传数据&#xff0c;实例 onenet设备初始化 获取设备id和密钥key 进入官网 中移坤灵 - 中国移动物联网开放平台 (10086.cn)https://open.iot.10086.cn/ 创建登录账号后&#xff0c;点击左上角的开发者中心 点击左上角的全…

ARP协议:地址解析协议

目录 引言 什么是ARP协议&#xff1f; ARP协议的工作原理 1. ARP请求 2. ARP应答 3. ARP缓存 ARP协议的应用 结语 其他链接 引言 在计算机网络中&#xff0c;地址解析协议&#xff08;ARP&#xff0c;Address Resolution Protocol&#xff09;扮演着重要的角色。ARP协议…

I2C 应用编程

1. I2C 框架结构 1.1 I2C 硬件框架 I2C 总线拓扑图 ⚫ 在一个芯片 (SoC) 内部&#xff0c;有一个或多个 I2C 控制器 ⚫ 在一个 I2C 控制器上&#xff0c;可以连接一个或多个 I2C 设备 ⚫ I2C 总线只需要 2 条线&#xff1a;时钟线 SCL 、数据线 SDA ⚫ 在 …

tamcat乱码

学习springmvc时tamcat乱码 ①、启动时tomcat控制台乱码 解决方法是&#xff1a;1、先把idea设置里的默认字节码改成utf-8 ​ 2、把idea显示编码改成utf-8&#xff0c;在末尾加上&#xff08; -Dfile.encodingUTF-8&#xff09; ​ 3、最后重启idea 加上这个 -Dfile.encodingU…

外贸获客怎么做?有哪些技巧?

外贸获客是许多企业拓展海外市场的关键一环&#xff0c;为了成功地吸引潜在客户&#xff0c;我们需要了解一些基本的获客技巧&#xff0c;本文将分享一些实用的方法和技巧&#xff0c;帮助您在外贸领域获得更多的客户。 一、了解目标客户 在开展外贸业务之前&#xff0c;了解…

保研毕业论文查重率多少通过【保姆教程】

大家好&#xff0c;今天来聊聊保研毕业论文查重率多少通过&#xff0c;希望能给大家提供一点参考。 以下是针对论文重复率高的情况&#xff0c;提供一些修改建议和技巧&#xff1a; 保研毕业论文查重率多少通过 在保研过程中&#xff0c;毕业论文的查重率是衡量学术诚信和论文…

【Maven教程】(十二):版本管理 ——版本号定义约定及相关概念,自动化版本发布与创建分支,GPG签名 ~

Maven 版本管理 1️⃣ 版本管理的概念2️⃣ Maven 的版本号定义约定3️⃣ 主干、标签与分支4️⃣ 自动化版本发布5️⃣ 自动化创建分支6️⃣ GPG签名6.1 GPG 及其基本使用6.2 Maven GPG Plugin &#x1f33e; 总结 一个健康的项目通常有一个长期、合理的版本演变过程。例如JUn…

Vue H5项目,怎么引入uni.webview sdk,调用uni postMessage实现手机蓝牙连接打印功能(uniapp)

前言 目前公司Vue H5项目&#xff0c;用webview打包成APP&#xff0c;现产品提出这样打包出来的app运行较慢&#xff0c;需要用uniapp方式&#xff08;即使用HBuilder编辑器来打包H5&#xff09;来打包&#xff0c;那需要的基座就不是安卓的基座而是uniapp的基座&#xff0c;而…

如何通过内网穿透工具实现任意浏览器远程访问Linux本地zabbix web管理界面

前言 Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。能监视各种网络参数&#xff0c;保证服务器系统的安全运营&#xff1b;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 本地zabbix web管理界面限制在只能局域…

GD32F30X-RT-Thread学习-线程管理

1. 软硬件平台 GD32F307E-START Board开发板MDK-ARM Keil 2.RT-Thread Nano 3.RT-Thread 内核学习-线程管理 ​ 在多线程操作系统中&#xff0c;可以把一个复杂的应用分解成多个小的、可调度的、序列化的程序单元&#xff0c;当合理地划分任务并正确地执行时&#xff0c;这…

我的acer电脑U盘装系统前BIOS设置及装系统过程中的操作

1、开机长按F2进入BIOS设置 2、使能F12 3、调整boot顺序&#xff0c;使USB启动的优先级最高 4、按F10保存退出 5、插入U盘开机&#xff0c;boot选择界面无需操作&#xff0c;等待几秒&#xff0c;默认进入U盘系统 由于既使能了F12&#xff0c;又将U盘的优先级进调整到了最高&…

三层交换原理

三层交换机出现的背景 早期的网络中一般使用二层交换机来搭建局域网&#xff0c;而不同局域网之间的网络互通由路由器来完成。那时的网络流量&#xff0c;局域网内部的流量占了绝大部分&#xff0c;而网络间的通信访问量比较少&#xff0c;使用少量路由器已经足够应付了。 但…

鸿蒙生态千帆起:从者众,行则远

“轻舟已过万重山”&#xff0c;鸿蒙的成长速度惊人&#xff0c;一定程度上打破了iOS和安卓二分天下的格局。短短四年时间&#xff0c;搭载华为鸿蒙系统的生态设备数已经突破7亿&#xff0c;开发者突破220万。据Counterpoint数据显示&#xff0c;华为HarmonyOS系统在中国的市场…

钓鱼网站域名识别工具dnstwist算法研究

先上一个AI的回答&#xff1a; dnstwist是一种钓鱼网站域名识别工具&#xff0c;可帮助用户识别和检测可能被恶意使用的域名。它通过生成类似的域名变体来模拟攻击者可能使用的钓鱼域名&#xff0c;并提供了一系列有用的功能和信息。 dnstwist能够生成一组类似的域名变体&…

Linux基础指令(2)

今天我们继续来学我们有关于Linux的指令&#xff0c;今天的指令要比上次多多了。开始我们的学习吧。 man手册 先来看标题&#xff0c;手册我们第一时间想到的就是手册的查阅功能&#xff0c;我们都知道在我们上小学的时候&#xff0c;如果遇到不会的字&#xff0c;我们会通过…

淘宝1688京东解析商品详情方法丨API接口指南及相关文档说明

要解析淘宝、1688和京东的商品详情&#xff0c;可以按照以下步骤进行&#xff1a; 获取API接口权限&#xff1a;首先&#xff0c;需要在对应的平台上申请API接口权限。这通常涉及到注册开发者账号&#xff0c;创建应用&#xff0c;并获取App Key和App Secret。编写API请求代码…

Docker build 无法解析域名

### 报错 Docker build 无法解析域名 报错&#xff1a;ERROR [ 2/12] RUN curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo 解决Docker build无法解析域名 # 追加到 etc/docker/daemon.json&#xff0c;注意JSON的格式 {"dn…

机器学习硬件十年:性能变迁与趋势

本文分析了机器学习硬件性能的最新趋势&#xff0c;重点关注不同GPU和加速器的计算性能、内存、互连带宽、性价比和能效等指标。这篇分析旨在提供关于ML硬件能力及其瓶颈的全面视图。本文作者来自调研机构Epoch&#xff0c;致力于研究AI发展轨迹与治理的关键问题和趋势。 &…