Spring Boot 3跨域方案详解:告别CORS烦恼

在Spring Boot 3中,解决跨域请求(CORS,Cross-Origin Resource Sharing)的问题主要有以下几种方式:

1. 使用@CrossOrigin注解

你可以直接在Controller类或者具体的请求处理方法上使用@CrossOrigin注解来允许跨域请求。

@RestController  
@RequestMapping("/user")  
@CrossOrigin(origins = "*") // 允许所有来源的请求跨域  
public class UserController {  // ...  
}

在这个例子中,@CrossOrigin注解被添加到了控制器类上,表示这个控制器下的所有方法都允许来自http://example.com的GET和POST请求。你也可以将注解添加到特定的方法上,以对该方法应用CORS配置。

2. 全局配置CORS

如果你希望全局配置CORS,而不是在每个Controller或方法上单独配置,你可以创建一个配置类来实现WebMvcConfigurer接口,并重写addCorsMappings方法。

import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.CorsRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  @Configuration  
public class CorsConfig implements WebMvcConfigurer {  @Override  public void addCorsMappings(CorsRegistry registry) {  // 添加映射路径  registry.addMapping("/**")  .allowedOrigins("*") // 允许哪些域的请求,星号代表允许所有  .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") // 允许的方法  .allowedHeaders("*") // 允许的头部设置  .allowCredentials(true) // 是否发送cookie  .maxAge(168000); // 预检间隔时间  }  
}

在这个配置中,addMapping("/**")表示对所有的路径都应用CORS配置。allowedOrigins("*")表示允许所有来源的访问,这在生产环境中可能不是最佳实践,通常你会指定具体的域名。allowedMethods定义了允许的HTTP方法,allowedHeaders定义了允许的HTTP头部,allowCredentials(true)表示是否允许携带凭证(cookies, HTTP认证及客户端SSL证明等),maxAge则用于设置预检请求的有效期。

3. 使用Filter实现CORS

你也可以通过实现Filter接口来自定义CORS处理逻辑。

import javax.servlet.*;  
import javax.servlet.http.HttpServletResponse;  
import java.io.IOException;  public class SimpleCorsFilter implements Filter {  @Override  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  throws IOException, ServletException {  HttpServletResponse response = (HttpServletResponse) res;  response.setHeader("Access-Control-Allow-Origin", "http://example.com");  response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");  response.setHeader("Access-Control-Max-Age", "3600");  response.setHeader("Access-Control-Allow-Headers", "x-requested-with");  chain.doFilter(req, res);  }  @Override  public void init(FilterConfig filterConfig) {}  @Override  public void destroy() {}  
}

然后需要在配置类中注册这个Filter。

import org.springframework.boot.web.servlet.FilterRegistrationBean;  
import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.Configuration;  @Configuration  
public class FilterConfig {  @Bean  public FilterRegistrationBean<SimpleCorsFilter> corsFilter() {  FilterRegistrationBean<SimpleCorsFilter> registrationBean = new FilterRegistrationBean<>();  registrationBean.setFilter(new SimpleCorsFilter());  registrationBean.addUrlPatterns("/*");  return registrationBean;  }  
}

4. 使用拦截器(Interceptor)

如果需要更复杂的CORS逻辑,你可以创建一个拦截器来处理CORS请求。拦截器允许你在请求处理之前或之后添加逻辑。

import org.springframework.web.servlet.HandlerInterceptor;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  public class CorsInterceptor implements HandlerInterceptor {  @Override  public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {  response.setHeader("Access-Control-Allow-Origin", "http://example.com");  response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  response.setHeader("Access-Control-Allow-Headers", "*");  // 其他CORS相关的响应头设置  return true;  }  
}

然后,你需要在配置类中注册这个拦截器: 

import org.springframework.beans.factory.annotation.Autowired;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  @Configuration  
public class WebConfig implements WebMvcConfigurer {  @Autowired  private CorsInterceptor corsInterceptor;  @Override  public void addInterceptors(InterceptorRegistry registry) {  registry.addInterceptor(corsInterceptor).addPathPatterns("/**");  }  
}
  • 当设置allowedHeaders("*")时,实际上浏览器会发送实际请求头而不是*。出于安全考虑,最好明确指定允许的头部。
  • 在生产环境中,确保不要过于宽松地配置CORS,只允许必要的源和方法。
  • 如果你的应用部署在代理服务器后面(如Nginx或Apache),可能还需要在代理服务器上配置CORS。

5. 响应体(Response Body)来设置CORS

虽然这种方式不如前面提到的几种方法直接和常用,但在某些特殊场景下,你可能需要手动控制响应头来实现跨域。

具体实现时,你可以在Controller的方法中,通过HttpServletResponse对象来设置Access-Control-Allow-Origin等CORS相关的HTTP头。

import javax.servlet.http.HttpServletResponse;  
import org.springframework.web.bind.annotation.GetMapping;  
import org.springframework.web.bind.annotation.RestController;  @RestController  
public class MyController {  @GetMapping("/data")  public String getData(HttpServletResponse response) {  // 设置允许跨域的来源  response.setHeader("Access-Control-Allow-Origin", "http://example.com");  // 设置允许的方法(GET, POST, PUT, DELETE等)  response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  // 设置允许的头信息  response.setHeader("Access-Control-Allow-Headers", "*");  // 设置预检请求的有效期  response.setHeader("Access-Control-Max-Age", "3600");  // 返回数据  return "Data";  }  
}

需要注意的是,手动设置响应头的方式相对繁琐,且容易遗漏某些必要的头信息,导致CORS配置不完整。因此,在实际开发中,推荐使用前面提到的方法,它们更为直接且易于管理。

此外,如果你正在使用Spring Security,还需要确保Spring Security的配置不会阻止跨域请求的处理。在某些情况下,你可能需要在Spring Security的配置中允许特定的CORS请求。

6. 通过自定义ResponseBodyAdvice

ResponseBodyAdvice是Spring MVC提供的一个接口,允许你在Controller方法返回响应体之前对其进行修改。虽然它本身不是专为CORS设计的,但你可以利用它在返回响应之前添加CORS相关的HTTP头。

下面是一个简单的示例,展示了如何通过实现ResponseBodyAdvice接口来添加CORS头:

import org.springframework.core.MethodParameter;  
import org.springframework.http.MediaType;  
import org.springframework.http.server.ServerHttpRequest;  
import org.springframework.http.server.ServerHttpResponse;  
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;  import java.lang.reflect.Type;  public class CorsResponseBodyAdvice implements ResponseBodyAdvice<Object> {  @Override  public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) {  // 支持所有返回类型  return true;  }  @Override  public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,  Class<? extends HttpMessageConverter<?>> selectedConverterType,  ServerHttpRequest request, ServerHttpResponse response) {  // 设置CORS相关的HTTP头  response.getHeaders().set("Access-Control-Allow-Origin", "http://example.com");  response.getHeaders().set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  response.getHeaders().set("Access-Control-Allow-Headers", "*");  // 如果有需要,还可以设置其他CORS相关的头,比如预检请求的有效期等  // 返回原始的body,不做修改  return body;  }  
}

然后,你需要在Spring Boot的配置中注册这个ResponseBodyAdvice

import org.springframework.context.annotation.Configuration;  
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  @Configuration  
public class WebConfig implements WebMvcConfigurer {  @Override  public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {  // 注册你的ResponseBodyAdvice  converters.forEach(converter -> {  if (converter instanceof MappingJackson2HttpMessageConverter) {  ((MappingJackson2HttpMessageConverter) converter).setResponseBodyAdvice(new CorsResponseBodyAdvice());  }  });  }  
}

这种方法的优点在于它可以全局地应用于所有Controller的响应,而无需在每个Controller或方法上单独设置。然而,它同样也有一些局限性,比如你可能需要手动处理一些CORS的细节,并且这种方式不如使用Spring提供的CORS支持那么直接和灵活。

在选择解决方案时,应该根据项目的具体需求和团队的偏好来权衡各种方法的优缺点。如果项目中有大量的Controller需要处理跨域请求,并且希望有一个统一且全局的解决方案,那么使用WebMvcConfigurerCorsFilter可能是更好的选择。如果只需要在特定的Controller或方法上处理跨域请求,那么使用@CrossOrigin注解可能更为简单直接。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/784717.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue 中使用 Canvas 绘制二维码

在 Vue 中使用 Canvas 绘制二维码可分为以下几个步骤&#xff1a; 安装 qrcode 库&#xff1a;npm install qrcode --save 在 Vue 组件中导入 qrcode 库 import QRCode from qrcode;创建 Canvas 元素 <canvas ref"canvas"></canvas>在 Vue 组件的生…

CleanMyMac X2024专业免费的国产Mac笔记本清理软件

非常高兴有机会向大家介绍CleanMyMac X 2024这款专业的Mac清理软件。它以其强大的清理能力、系统优化效果、出色的用户体验以及高度的安全性&#xff0c;在Mac清理软件市场中独树一帜。 CleanMyMac X2024全新版下载如下: https://wm.makeding.com/iclk/?zoneid49983 一、主要…

挖一挖:PostgreSQL Java里的double类型存储到varchar精度丢失问题

前言 大概故事是这样的&#xff0c;PostgreSQL数据库&#xff0c;表结构&#xff1a; create table t1(a varchar);然后使用标准的Java jdbc去插入数据&#xff0c;其基本代码如下&#xff1a; import java.sql.*; public class PgDoubleTest {public static void main(Stri…

C语言TCP服务器模型 : select + 多线程与双循环单线程阻塞服务器的比较

观察到的实验现象: 启动三个客户端: 使用双循环阻塞服务器:只能accept后等待收发,同时只能与一个客户端建立连接,必须等已连接的客户端多次收发 明确断开后才能与下个客户端连接 使用IO多路复用select:可以同时接收所有的连接请求,并且连接状态一直是存活的,直到客户端关闭连…

53 v-bind 和 v-model 的实现和区别

前言 这个主要的来源是 偶尔的情况下 出现的问题 就比如是 el-select 中选择组件之后, 视图不回显, 然后 model 不更新等等 这个 其实就是 vue 中 视图 -> 模型 的数据同步, 我们通常意义上的处理一般是通过 模型 -> 数据 的数据同步, 比如 我们代码里面更新了 model.…

c++ 设计模式 桥模式

最初版本 #include <iostream> class Message { public:virtual void Login(std::string username, std::string password) 0;virtual void SendMessage(std::string messages) 0;virtual void SendPicture(Image image) 0;virtual void PalySound() 0;virtual voi…

C#/.NET/.NET Core优秀项目和框架2024年3月简报

前言 公众号每月定期推广和分享的C#/.NET/.NET Core优秀项目和框架&#xff08;每周至少会推荐两个优秀的项目和框架当然节假日除外&#xff09;&#xff0c;公众号推文中有项目和框架的介绍、功能特点、使用方式以及部分功能截图等&#xff08;打不开或者打开GitHub很慢的同学…

Github 2024-04-01开源项目日报Top10

根据Github Trendings的统计,今日(2024-04-01统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量Python项目6Jupyter Notebook项目3TypeScript项目2C项目1初学者的生成式人工智能(第2版) 创建周期:259 天开发语言:Jupyter Notebook协议类…

解决Python项目中遇到的AttributeError: ‘Document‘ object has no attribute ‘pageCount‘

目录 一. 问题描述 二. 解决办法 2.1 问题一&#xff1a;使用PyMuPDF库来处理PDF文件&#xff08;pageCount&#xff09; 2.2 问题二&#xff1a;使用了Matrix对象来控制图像旋转&#xff08;preRotate&#xff09; 2.3 问题三&#xff1a;从PDF页面获取像素图像&#xff0…

变更控制、变更类型

目录 1、变更控制 2、变更类型 1、变更控制 在软件开发过程中会有许多变更&#xff0c;如代码、配置、SQL、基线、构建版本、发布版本等变更。对于变更都要有一个控制机制&#xff0c;以保证所以变更都是可控的、可跟踪的、可重现的。对变更进行控制的机构称为变更控制委员会…

爬虫(Web Crawler)介绍与应用

## 摘要 本文将介绍什么是爬虫&#xff08;Web Crawler&#xff09;以及其在信息抓取、数据分析等领域的应用。我们将深入探讨爬虫的工作原理、设计特点以及开发过程中需要考虑的关键问题。 ## 一、什么是爬虫 爬虫是一种自动化程序或脚本&#xff0c;用于从互联网上抓取信息…

状态模式详解:管理对象状态的利器

在软件设计中&#xff0c;我们经常会遇到需要根据对象的不同状态来执行不同行为的情况。为了优雅地管理这些状态及其对应的行为&#xff0c;状态模式&#xff08;State Pattern&#xff09;应运而生。本文将深入探讨状态模式的使用条件、Java代码实现&#xff0c;并结合现实社会…

[HackMyVM]靶场Pipy

难度:easy kali:192.168.56.104 靶机:192.168.56.141 端口扫描 ┌──(root㉿kali2)-[~/Desktop] └─# nmap 192.168.56.141 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-31 20:10 CST Nmap scan report for 192.168.56.141 Host is up (0.00…

Vitepress部署到GitHub Pages,工作流

效果&#xff1a; 第一步&#xff1a; 部署 VitePress 站点 | VitePress 执行 npm run docs:build&#xff0c;npm run docs:preview&#xff0c;生成dist文件 第二步&#xff1a; 手动创建.gitignore文件&#xff1a; node_modules .DS_Store dist-ssr cache .cache .temp *…

Python100个库分享第5个—fuzzywuzzy

目录 专栏导读库介绍安装fuzz模块用法1&#xff1a;简单匹配&#xff08;Ratio&#xff09;fuzz模块用法2&#xff1a;推荐使用—非完全匹配&#xff08;Partial Ratio&#xff09;fuzz模块用法3&#xff1a;Token Sort Ratio&#xff09;process模块extract提取多条数据extrac…

基于价值的任务分解、规划与基于事实的任务分解、规划

基于价值的任务分解、规划反映了势态知感&#xff0c;基于事实的任务分解、规划反映了态势感知。 基于价值的任务分解、规划强调对任务的价值和意义的评估&#xff0c;以确定优先级和资源分配。这种方式下&#xff0c;任务的分解和规划是基于对所要达成的目标和价值的理解和考量…

3-Jquery过滤选择器

选择题 下列哪个选择器用于选择所有索引为偶数的元素&#xff1f; A. :even B. :odd C. :nth-child(even) D. :nth-even 答案&#xff1a;A:first-child选择器的作用是&#xff1f; A. 选择所有第一个元素 B. 选择每个父元素的第一个子元素 C. 选择每个元素的第一个子元素 D. …

55 npm run serve 和 npm run build 的分包策略

前言 这里我们来看一下 vue 这边 打包的时候的一些 拆分包的一些策略 我们经常会使用到 npm run build 进行服务的打包 然后 打包出来的情况, 可能如下, 可以看到 chunk-vendors 是进行了包的拆分, 我们这里就是 来看一下 这里 npm run build 的时候的, 一个分包的策略 测试…

Verilog基础【一】

文章目录 1.1 第一个verilog设计1.2 Verilog 简介1.3 Verilog环境搭建1.4 Verilog 设计方法设计方法设计流程 2.1 Verilog 基础语法格式注释标识符与关键字 2.2 Verilog 数值表示数值种类整数数值表示方法实数表示方法十进制&#xff1a;科学计数法&#xff1a; 字符串表示方法…

2023年C++语言B组蓝桥杯的三道题解【题解整合】

链接整合包 飞机降落–>点我传送 接龙数列–>点我传送 岛屿个数–>点我传送