Spring 跨域配置请求详解
介绍
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。
出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)
普通参数跨域
在response的头文件添加
httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");
| 参数 | 值 | 描述 |
|---|---|---|
| Access-Control-Allow-Origin | * | 授权的源控制 |
| Access-Control-Allow-Credentials | true / false | 是否允许用户发送和处理cookie |
| Access-Control-Allow-Methods | [,]* | 允许请求的HTTP Method,多个用逗号分隔 |
| Access-Control-Allow-Headers | [,]* | 控制哪些header能发送真正的请求,多个用逗号分隔 |
| Access-Control-Max-Age | 秒 | 授权的时间,单位为秒。有效期内,不会重复发送预检请求 |
带headr请求跨域
这样客户端需要发起OPTIONS请求, 可以说是一个【预请求】,用于探测后续真正需要发起的跨域 POST 请求对于服务器来说是否是安全可接受的,因为跨域提交数据对于服务器来说可能存在很大的安全问题。
因为Springmvc模式是关闭OPTIONS请求的,所以需要开启
<servlet> <servlet-name>application</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>dispatchOptionsRequest</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
开启CORS
SpringMVC从4.2版本开始增加了对CORS的支持。在springMVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。
使用@CrossOrigin注解
先通过源码看看该注解支持的属性
在Controller上使用@CrossOrigin注解
// 指定当前的AccountController中所有的方法可以处理所有域上的请求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
在方法上使用@CrossOrigin注解
@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
CORS全局配置
除了细粒度基于注解的配置,可以定义全局CORS的配置。这类似于使用过滤器,但可以在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。
基于XML的配置
<mvc:cors> <mvc:mapping path="/api/**" allowed-origins="http://domain1.com, http://domain2.com" allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE" allowed-headers="header1, header2, header3" exposed-headers="header1, header2" allow-credentials="false" max-age="72000" /> <mvc:mapping path="/resources/**" allowed-origins="http://domain3.com" /> </mvc:cors>
基于代码的配置
这个方法同样适用于SpringBoot。
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain1.com")
.allowedOrigins("http://domain2.com")
.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false)
.maxAge(72000L);
registry.addMapping("/resources/**")
.allowedOrigins("http://domain3.com");
}
}
基于过滤器的配置
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("http://domain1.com");
config.addAllowedOrigin("http://domain2.com");
config.addAllowedHeader("*");
config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
config.setAllowCredentials(true);
config.setMaxAge(72000L);
// CORS 配置对所有接口都有效
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
这篇文章主要为大家详细介绍了Java的sort的排序及使用,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 ,希望您能够多多关注2022-02-02
这篇文章主要介绍了Spring使用event-stream进行数据推送,前端使用EventSource方式向后台发送请求,后端接收到之后使用event-stream方式流式返回,文中有相关的代码示例供大家参考,需要的朋友可以参考下2024-03-03
本文主要介绍了springBoot连接远程Redis连接失败的问题解决,使用springboot里面的redisTemplate进行连接的时候,却发生了报错,下面就来一起解决一下2024-05-05
这篇文章主要介绍了SpringBoot响应Json数据乱码通过配置的解决,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-11-11
寻找最大的K个数,这个是面试中比较常见的一道题,网上也有很多例子,在这里是比较传统的解法2014-04-04
这篇文章主要介绍了浅谈Java实体对象的三种状态以及转换关系,具有一定参考价值,需要的朋友可以,看看。。2017-11-11
这篇文章主要介绍了SpringBoot实战之实现结果的优雅响应案例详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下2021-09-09
shrio中hashedCredentialsMatcher密码匹配示例详解
shrio是一个轻量级权限管理框架,密码的匹配由框架内部完成。密码是否匹配由接口CredentialsMatcher定义实现类完成,CredentialsMatcher实现类有SimpleCredentialsMatcher和HashedCredentialsMatcher两个2021-10-10
线程 Thread 类,和 Runable 接口 比较两者的特点和应用领域.可以,直接继承线程Thread类。该方法编写简单,可以直接操作线程,适用于单重继承情况,因而不能在继承其他类,下面我们来看一个实例2013-08-08
在现代企业和教育环境中,PowerPoint(PPT)作为一种流行的演示文稿工具,被广泛应用于各种场合,随着数字化转型的推进,越来越多的企业希望能够自动化处理PPT文件,本文将介绍如何使用Java获取PPT内容,需要的朋友可以参考下2024-08-08
最新评论