【SpringBoot教程】SpringBoot 实现前后端分离的跨域访问(CORS)

作者简介:大家好,我是撸代码的羊驼,前阿里巴巴架构师,现某互联网公司CTO

联系v:sulny_ann(17362204968),加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

# 序言

跨域资源共享向来都是热门的需求,使用CORS可以帮助我们快速实现跨域访问,只需在服务端进行授权即可,无需在前端添加额外设置,比传统的JSONP跨域更安全和便捷。

一、基本介绍

简单来说,CORS是一种访问机制,英文全称是Cross-Origin Resource Sharing,即我们常说的跨域资源共享,通过在服务器端设置响应头,把发起跨域的原始域名添加到Access-Control-Allow-Origin 即可。

1. CORS工作原理

CORS实现跨域访问并不是一蹴而就的,需要借助浏览器的支持,从原理题图我们可以清楚看到,简单的请求(通常指GET/POST/HEAD方式,并没有去增加额外的请求头信息)直接创建了跨域请求的XHR对象,而复杂的请求则要求先发送一个"预检"请求,待服务器批准后才能真正发起跨域访问请求。

来自维基百科

根据官方文档W3C规范-CORS 的描述,目前CORS使用了如下头部信息:

2. Request Headers(请求头)

温馨提示:Request Headers 无需人为干预,因为浏览器会自动识别跨域请求并添加对应的请求头。

  • Origin 表示发起跨域请求的原始域。

  • Access-Control-Request-Method 表示发起跨域请求的方式,例如GET/POST。

  • Access-Control-Request-Headers表示发起跨域请求的额外头信息。

3. Response headers(响应头 )

温馨提示:Response Headers 需要人为干预,通过设置响应头以帮助服务器资源进行跨域授权,例如允许哪些原始域进行跨域请求,是否允许响应信息携带Cookie等认证信息。

  • Access-Control-Allow-Origin 表示允许哪些原始域进行跨域访问。

  • Access-Control-Allow-Credentials表示是否允许客户端获取用户凭据。

使用场景:例如现在需要登录系统后才能发起跨域请求,并且要附带Cookie信息给服务器。则必须具备两个条件:

1. 浏览器端:发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。

2.服务器端:设置Access-Control-Allow-Credentials为true。两个条件缺一不可,否则即使服务器同意发送Cookie,浏览器也无法获取。

正确姿势如下:

$.ajax({    url: 'localhost:8080',    xhrFields: {        withCredentials: true //表示发起跨域访问并要求携带Cookie等认证信息    },    success: function (r) {        console.log(r)    }});
 

有好奇的小伙伴可能会问为什么在W3C手册中找不到跨域属性xhrFields的描述,因为该属性并不是通信对象XHR的默认属性,而是自定义属性,所以在jQuery Ajax 参考手册 中并没有明确注明,但我们可以在jQuery源码中找到这段蛛丝马迹,那么整体思路就很清晰了。

​​​​​​​

// Cross domain only allowed if supported through XMLHttpRequest    if ( support.cors || xhrSupported && !options.crossDomain ) {        return {            send: function( headers, complete ) {                var i,                    xhr = options.xhr();
                xhr.open(                    options.type,                    options.url,                    options.async,                    options.username,                    options.password                );
                // Apply custom fields if provided                if ( options.xhrFields ) {                    for ( i in options.xhrFields ) {                        xhr[ i ] = options.xhrFields[ i ];                    }                }           ...    }
 
  • Access-Control-Allow-Methods 表示允许哪些跨域请求的提交方式。(例如GET/POST)

  • Access-Control-Allow-Headers  表示跨域请求的头部的允许范围。

  • Access-Control-Expose-Headers 表示允许暴露哪些头部信息给客户端。

    使用说明:基于安全考虑,如果没有设置额外的暴露,跨域的通信对象XMLHttpRequest只能获取标准的头部信息。

  • Access-Control-Max-Age 表示预检请求 [Preflight Request] 的最大缓存时间。

二、CORS实现跨域访问

授权方式

  • 方式1:返回新的CorsFilter

  • 方式2:重写WebMvcConfigurer

  • 方式3:使用注解(@CrossOrigin)

  • 方式4:手工设置响应头(HttpServletResponse )

注:CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持,对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过,使用SpringMVC4.2 以下版本的小伙伴也不用慌,直接使用方式4通过手工添加响应头来授权CORS跨域访问也是可以的。附:在SpringBoot 1.2.8 + SpringMVC 4.1.9 亲测成功。

注:方式1和方式2属于全局CORS配置,方式3和方式4属于局部CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则,所以可以通过@CrossOrigin注解来进行细粒度更高的跨域资源控制。

1. 返回新的CorsFilter(全局跨域)

在任意配置类,返回一个新的CorsFilter Bean,并添加映射路径和具体的CORS配置信息。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {    @Bean    public CorsFilter corsFilter() {        //1.添加CORS配置信息        CorsConfiguration config = new CorsConfiguration();          //放行哪些原始域          config.addAllowedOrigin("*");          //是否发送Cookie信息          config.setAllowCredentials(true);          //放行哪些原始域(请求方式)          config.addAllowedMethod("*");          //放行哪些原始域(头部信息)          config.addAllowedHeader("*");          //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)          config.addExposedHeader("*");
        //2.添加映射路径        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();        configSource.registerCorsConfiguration("/**", config);
        //3.返回新的CorsFilter.        return new CorsFilter(configSource);    }}

 

2. 重写WebMvcConfigurer(全局跨域)

在任意配置类,返回一个新的WebMvcConfigurer Bean,并重写其提供的跨域请求处理的接口,目的是添加映射路径和具体的CORS配置信息。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {    @Bean    public WebMvcConfigurer corsConfigurer() {        return new WebMvcConfigurer() {            @Override            //重写父类提供的跨域请求处理的接口            public void addCorsMappings(CorsRegistry registry) {                //添加映射路径                registry.addMapping("/**")                        //放行哪些原始域                        .allowedOrigins("*")                        //是否发送Cookie信息                        .allowCredentials(true)                        //放行哪些原始域(请求方式)                        .allowedMethods("GET","POST", "PUT", "DELETE")                        //放行哪些原始域(头部信息)                        .allowedHeaders("*")                        //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)                        .exposedHeaders("Header1", "Header2");            }        };    }}
 

3. 使用注解(局部跨域)

在方法上(@RequestMapping)使用注解 @CrossOrigin :

​​​​​​​

    @RequestMapping("/hello")    @ResponseBody    @CrossOrigin("http://localhost:8080")     public String index( ){        return "Hello World";    }
 

或者在控制器(@Controller)上使用注解 @CrossOrigin :

​​​​​​​

@Controller@CrossOrigin(origins = "http://xx-domain.com", maxAge = 3600)public class AccountController {
    @RequestMapping("/hello")    @ResponseBody    public String index( ){        return "Hello World";    }}
 

4. 手工设置响应头(局部跨域 )

使用HttpServletResponse对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里Origin的值也可以设置为"*" ,表示全部放行。

​​​​​​​

    @RequestMapping("/hello")    @ResponseBody    public String index(HttpServletResponse response){        response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");        return "Hello World";    }
 

三、测试跨域访问

首先使用 Spring Initializr 快速构建一个Maven工程,什么都不用改,在static目录下,添加一个页面:index.html 来模拟跨域访问。

​​​​​​​

<!DOCTYPE html><html lang="en"><head>    <meta charset="UTF-8"/>    <title>Page Index</title></head><body><h2>前台系统</h2><p id="info"></p></body><script src="webjars/jquery/3.2.1/jquery.js"></script><script>    $.ajax({        url: 'http://localhost:8090/hello',        type: "POST",        xhrFields: {           withCredentials: true //允许跨域认证        },        success: function (data) {            $("#info").html("跨域访问成功:"+data);        },        error: function (data) {            $("#info").html("跨域失败!!");        }    })</script></html>
 

然后创建另一个工程,在Root Package添加Config目录并创建配置类来开启全局CORS。

​​​​​​​

package com.hehe.yyweb.config;
@Configurationpublic class GlobalCorsConfig {
    @Bean    public WebMvcConfigurer corsConfigurer() {        return new WebMvcConfigurer() {            @Override            public void addCorsMappings(CorsRegistry registry) {                registry.addMapping("/**");            }        };    }}
 

接着,简单编写一个Rest接口 ,并指定应用端口为8090。

​​​​​​​

package com.hehe.yyweb;
@SpringBootApplication@RestControllerpublic class YyWebApplication {
    @Bean    public TomcatServletWebServerFactory tomcat() {        TomcatServletWebServerFactory tomcatFactory = new TomcatServletWebServerFactory();        tomcatFactory.setPort(8090); //默认启动8090端口        return tomcatFactory;    }
    @RequestMapping("/hello")    public String index() {        return "Hello World";    }
    public static void main(String[] args) {        SpringApplication.run(YyWebApplication.class, args);    }}
 

最后分别启动两个应用,然后在浏览器访问:http://localhost:8080/index.html ,可以正常接收JSON数据,说明跨域访问成功!!

尝试把全局CORS关闭,或者没有单独在方法或类上授权跨域,再次访问:http://localhost:8080/index.html 时会看到跨域请求失败!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/213637.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【毕业季|进击的技术er】作为一名职场人,精心总结的嵌入式学习路线图

活动地址&#xff1a;毕业季进击的技术er 文章目录 0、作者介绍1、前言2、嵌入式基础必备知识2.1、学习内容2.2、学习建议2.3、学习资料 3、嵌入式入门篇——51单片机3.1、学习内容3.2、学习建议3.3、学习资料 4、STM32进阶篇4.1、学习内容4.2、学习建议4.3、学习资料 5、小而美…

嵌入式开发按怎样的路线学习较好?

嵌入式开发按怎样的路线学习较好&#xff1f; 在开始前我有一些资料&#xff0c;是我根据自己从业十年经验&#xff0c;熬夜搞了几个通宵&#xff0c;精心整理了一份「嵌入式从专业入门到高级教程工具包」&#xff0c;点个关注&#xff0c;全部无偿共享给大家&#xff01;&…

张驰咨询:掌握流程改进的关键,深入了解六西格玛绿带培训

尊敬的读者&#xff0c;当您寻求提升个人能力&#xff0c;加强企业流程管理时&#xff0c;六西格玛绿带培训无疑是您的不二选择。本文将带您深入了解六西格玛绿带培训的核心内容、必备工具和实际案例&#xff0c;以助您在职业生涯中一帆风顺。 六西格玛绿带培训主要针对中层管…

论文查重怎么找到需要更改的【详细说明】

大家好&#xff0c;今天来聊聊论文查重怎么找到需要更改的&#xff0c;希望能给大家提供一点参考。 以下是针对论文重复率高的情况&#xff0c;提供一些修改建议和技巧&#xff1a; 论文查重怎么找到需要更改的 论文查重是保证学术诚信和提高论文质量的重要环节小发猫伪原创。…

班级管理的重要性

班级管理&#xff0c;就像是一座桥&#xff0c;连接着学生和老师&#xff0c;它的重要性不言而喻。 营造良好的学习氛围 班级管理不仅仅是维护秩序&#xff0c;更是营造一个积极向上的学习氛围。一个好的班级管理&#xff0c;能让学生更加专注于学习&#xff0c;提高学习效率。…

Linux上的MAC地址欺骗

Linux上的MAC地址欺骗 1、查看mac地址法1&#xff1a;ifconfig法2&#xff1a;ip link show 2、临时性改变 MAC 地址法1&#xff1a;使用iproute2工具包法2&#xff1a;使用macchanger工具 3、永久性改变 MAC 地址3.1 在 Fedora、RHEL下实践3.2 在 Debian、Ubuntu、Linux Mint下…

数据结构之----原码、反码、补码

数据结构之----原码、反码、补码 什么是原码&#xff1f; 原码&#xff1a;我们将数字的二进制表示的最高位视为符号位&#xff0c;其中 0 表示正数&#xff0c;1 表示负数&#xff0c;其余位表示数字 的值。 什么是反码&#xff1f; 反码&#xff1a;正数的反码与其原码相…

网络攻击(二)--情报搜集阶段

4.1. 概述 在情报收集阶段&#xff0c;你需要采用各种可能的方法来收集将要攻击的客户组织的所有信息&#xff0c;包括使用社交网络、Google Hacking技术、目标系统踩点等等。 而作为渗透测试者&#xff0c;你最为重要的一项技能就是对目标系统的探查能力&#xff0c;包括获知…

文生图:AE/VAE/VQVAE/VQGAN/DALLE模型

文生图模型演进&#xff1a;AE、VAE、VQ-VAE、VQ-GAN、DALL-E 等 8 模型本文中我们回顾了 AE、VAE、VQ-VAE、VQ-VAE-2 以及 VQ-GAN、DALL-E、DALL-E mini 和 CLIP-VQ-GAN 等 8 中模型&#xff0c;以介绍文生图模型的演进。https://mp.weixin.qq.com/s/iFrCEpAJ3WMhB-01lZ_qIA 1…

GaussDB数据库语法及gsql入门

一、GaussDB数据库语法入门 之前我们讲了如何连接数据库实例&#xff0c;那连接数据库后如何使用数据库呢&#xff1f;那么我们今天就带大家了解一下GaussDB&#xff0c;以下简称GaussDB的基本语法。 关于如何连接数据库&#xff0c;请戳这里。 学习本节课程之后&#xff0c…

【运维】将Linux的硬盘当内存用,Linux内存不够用的时候如何用硬盘提升内存

文章目录 内存不够用&#xff0c;可以用硬盘当内存吗如何取消这种交换空间交换空间是优先使用的还是说原始内存是会被优先使用的 内存不够用&#xff0c;可以用硬盘当内存吗 是的&#xff0c;可以使用硬盘作为虚拟内存来扩展容器中的内存。这个过程被称为“交换”或“交换空间…

Django 模型操作-分页(七)

一、连接MySql数据库 1、先安装MySQL 2、再安装MySQL驱动 使用mysqlclient pip install mysqlclient 如果上面的命令安装失败, 则尝试使用国内豆瓣源安装: pip install -i https://pypi.douban.com/simple mysqlclient 二、在settings.py中配置 三、 book表的数据…

Android系统启动过程-uBoot+Kernel+Android

摘要&#xff1a;本文是参考大量网上资源在结合自己查看源代码总结出来的&#xff0c;让自己同时也让大家加深对Android系统启动过程有一个更加深入的了解&#xff01;再次强调&#xff0c;本文的大多数功劳应归功于那些原创者们&#xff0c;同时一些必要的参考链接我会一一附上…

【机器学习实训项目】黑色星期五画像分析

目录 前言 一、项目概述 1.1 项目简介 1.2 项目背景 1.3 项目目标 二、数据分析 2.1 导入库 2.2 数据基本信息 三、画像分析 3.1 画像1&#xff1a;消费金额Top10 3.2 画像2&#xff1a;高频消费Top10 3.3 画像3&#xff1a;人均消费金额Top10 3.4 画像4&#xff1a;男女消费对…

创投课程第四期 | Web3一级市场投资框架的演变及投资人能力框架的构成

协会邀请了来自Zonff Partners的合伙人——Colin&#xff0c;作为VC创投课程第4期的嘉宾&#xff0c;在北京时间12月9日(周六)下午14:00 PM-15:00 PM于蚂蚁链科技产业创新中心进行线下分享&#xff0c;届时将与所有对Web3投资、创业心怀热忱的朋友们共同探讨《WEB3一级市场投资…

双向链表(数据结构与算法)

✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅✅ ✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨✨ &#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1f33f;&#x1…

程序启动时访问了未初始化的类指针引发内存访问违例导致程序崩溃的问题排查

目录 1、问题说明 2、使用Windbg动态调试去初步分析 3、使用Windbg详细分析 4、最后 VC常用功能开发汇总&#xff08;专栏文章列表&#xff0c;欢迎订阅&#xff0c;持续更新...&#xff09;https://blog.csdn.net/chenlycly/article/details/124272585C软件异常排查从入门…

20、XSS——XSS跨站脚本

文章目录 一、XSS漏洞概述1.1 XSS简介 二、XSS漏洞分类2.1 反射型XSS2.2 存储型XSS2.3 DOM型XSS 三、XSS payload构造以及变形3.1 XSS payload构造3.2 XSS payload 变形 一、XSS漏洞概述 1.1 XSS简介 XSS被称为跨站脚本攻击&#xff08;Cross-site scripting&#xff09;&…

k8s volumes and data

Overview 传统上&#xff0c;容器引擎(Container Engine)不提供比容器寿命更长的存储。由于容器被认为是瞬态(transient)的&#xff0c;这可能会导致数据丢失或复杂的外部存储选项。Kubernetes卷共享 Pod 生命周期&#xff0c;而不是其中的容器。如果容器终止&#xff0c;数据…

排序的简单理解(上)

1. 排序的概念及引用 1.1 排序的概念 排序&#xff1a;所谓排序&#xff0c;就是使一串记录&#xff0c;按照其中的某个或某些关键字的大小&#xff0c;递增或递减的排列起来的操作&#xff08;按照我们的需求能够有序的将数据信息排列起来&#xff09;。 稳定性&#xff1a;假…