SpringBoot:CORS是什么?SpringBoot如何解决跨域问题?

一、简介

  跨域资源共享(CORS, Cross-Origin Resource Sharing)是一个W3C规范,它定义了一种浏览器和服务器交互的方式来确定是否允许跨源请求。当一个资源(如HTML页面、JavaScript文件、图片等)从一个源(origin)被请求到另一个源时,就会发生跨域请求。出于安全原因,浏览器会限制跨域请求,但CORS规范提供了一种机制,允许服务器明确指示哪些源可以访问其资源。

二、什么情况下需要CORS?

跨域数据访问
  当一个Web应用需要从另一个域(包括协议、域名、端口三者之一不相同)加载资源时,就会触发跨域问题。

  例如,一个位于https://test.com的网页试图访问http://api.anotherdomain.com提供的API数据,由于两个URL的域名不同,浏览器会阻止这种跨域请求,以保护用户数据不被恶意脚本获取。此时,就需要CORS来允许这种跨域访问。

图片、字体和媒体资源跨域引用
  在网页开发中,经常会引用到图片、字体和媒体资源,这些资源可能存放在不同的域名下。由于浏览器的同源策略,这些跨域资源的引用可能会被阻止。CORS允许服务器指定哪些域可以访问其资源,从而允许网页跨域引用这些资源。

三、CORS请求示例

1. 简单请求(Simple Request)

请求头示例:

  当浏览器发现是一个简单请求时(例如,使用GET、HEAD或POST方法,并且请求头中只包含简单的字段,如Accept、Accept-Language、Content-Language、Content-Type且Content-Type的值只能是text/plain、multipart/form-data或application/x-www-form-urlencoded),它会自动在请求头中加上Origin字段,告诉服务器这个请求来自哪个源(请求协议+域名+端口)。

GET /cors HTTP/1.1  
Origin: http://api.bob.com  
Host: api.alice.com  
Accept-Language: en-US  
Connection: keep-alive  
User-Agent: Mozilla/5.0...

响应头示例:

  服务器在收到请求后,会检查Origin字段。如果字段值在服务器的许可范围内,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Credentials: true  
Content-Type: text/html; charset=utf-8  

2. 非简单请求(Not-So-Simple Request)

  对于非简单请求(例如,使用PUT、DELETE方法,或使用自定义的请求头),浏览器的CORS请求分为两步:

第一步:预检请求(Preflight Request)

  浏览器首先会发送一个OPTIONS请求到服务器,询问是否允许跨域请求。这个请求会包含一些额外的头部字段,如Access-Control-Request-Method和Access-Control-Request-Headers。

OPTIONS /cors HTTP/1.1  
Origin: http://api.bob.com  
Access-Control-Request-Method: PUT  
Access-Control-Request-Headers: X-Custom-Header  

第二步:实际请求(Actual Request)

  如果服务器在预检请求的响应中允许了跨域请求,浏览器才会发送实际的请求。

PUT /cors HTTP/1.1  
Origin: http://api.bob.com  
X-Custom-Header: foobar  
...

预检请求的响应头示例

  服务器在收到预检请求后,会检查请求头中的字段,并决定是否允许跨域请求。如果允许,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Methods: PUT, DELETE  
Access-Control-Allow-Headers: X-Custom-Header  
Access-Control-Max-Age: 86400  

简单请求:浏览器直接发送带有Origin字段的请求,服务器通过响应头中的CORS相关字段来决定是否允许跨域访问。

非简单请求:浏览器首先发送一个OPTIONS预检请求,询问服务器是否允许跨域请求。如果允许,浏览器才会发送实际的请求。服务器通过预检请求的响应头中的CORS相关字段来决定是否允许跨域请求。

四、什么是预检请求

  CORS的预检请求是浏览器在发送某些跨域请求之前的一个安全机制。它通过向目标服务器发送一个额外的OPTIONS请求来检查服务器是否允许该跨域请求。如果服务器在响应中允许了跨域请求,那么浏览器才会发送实际的跨域请求。这个机制有助于保护用户数据不被恶意脚本获取,同时允许合法的跨域请求得以执行。

触发条件

  1.请求方法不是GET、HEAD或POST:当浏览器尝试使用除GET、HEAD或POST之外的方法(如PUT、DELETE等)发送跨域请求时,会触发预检请求。

  2.请求头中包含自定义头部字段:如果跨域请求中包含了自定义的HTTP头部字段(如X-Custom-Header),并且这些字段的值不在简单的头部字段列表中,那么也会触发预检请求。

  3.发送了application/json格式的数据:当浏览器向服务器发送包含Content-Type: application/json的请求头时,也会触发预检请求。

预检请求的过程

  浏览器发送OPTIONS请求:浏览器首先会发送一个HTTP OPTIONS请求到目标服务器,这个请求不包含任何实际的数据,而是包含了一些CORS相关的请求头,如Access-Control-Request-Method(指定实际请求的方法)和Access-Control-Request-Headers(指定实际请求中包含的自定义头部字段)。

OPTIONS /cors HTTP/1.1  
Origin: http://api.bob.com  
Access-Control-Request-Method: PUT  
Access-Control-Request-Headers: X-Custom-Header

  服务器响应OPTIONS请求:服务器在收到OPTIONS请求后,会检查请求头中的字段,并决定是否允许跨域请求。如果允许,服务器会返回一个带有CORS相关响应头的HTTP响应。

HTTP/1.1 200 OK  
Access-Control-Allow-Origin: http://api.bob.com  
Access-Control-Allow-Methods: PUT, DELETE  
Access-Control-Allow-Headers: X-Custom-Header  
Access-Control-Max-Age: 86400  

  浏览器发送实际请求:如果服务器在预检请求的响应中允许了跨域请求,那么浏览器会发送实际的跨域请求。这个请求会包含实际的数据和所有必要的请求头。

五、CORS中常用的HTTP响应头

CORS主要通过在HTTP响应头中添加特定的字段来控制跨域访问。以下是CORS中常用的HTTP响应头:

Access-Control-Allow-Origin
这个响应头指定了哪些源(域名、协议和端口)有权限访问该资源。
如果要允许所有源,可以设置为*(但请注意,这可能会带来安全风险,特别是当涉及到敏感数据时)。
示例:Access-Control-Allow-Origin: https://test.com

Access-Control-Allow-Methods
这个响应头指定了服务器支持的跨域请求的方法(HTTP方法,如GET、POST、PUT、DELETE等)。
示例:Access-Control-Allow-Methods: GET, POST, OPTIONS

Access-Control-Allow-Headers
这个响应头指定了服务器允许在跨域请求中使用的头部字段。
示例:Access-Control-Allow-Headers: Content-Type, X-Requested-With

Access-Control-Allow-Credentials
这个响应头是一个布尔值,指定是否允许在跨域请求中包含用户凭据(如cookies、HTTP认证或客户端SSL证明)。
如果设置为true,浏览器会向服务器发送凭据。但请注意,Access-Control-Allow-Origin不能设置为*,必须明确指定允许的源。
示例:Access-Control-Allow-Credentials: true

Access-Control-Max-Age
这个响应头指定了预检请求(preflight request,即OPTIONS请求)的结果可以被缓存多久(以秒为单位)。
浏览器会在缓存期内跳过预检请求,从而提高性能。
示例:Access-Control-Max-Age: 86400(一天)

Access-Control-Expose-Headers
这个响应头指定了哪些头部字段应该被包含在跨域请求的响应中,并可以通过getResponseHeader()方法访问。
默认情况下,跨域请求只能访问简单的响应头(如Cache-Control、Content-Language、Content-Type、Expires、Last-Modified和Pragma)。
示例:Access-Control-Expose-Headers: X-My-Custom-Header

六、SpringBoot中如何解决跨域问题

1.使用@CrossOrigin注解:

  你可以在控制器类或方法上使用@CrossOrigin注解来允许跨域请求。

@RestController  
@RequestMapping("/test")  
@CrossOrigin(origins = "http://test.com") // 允许来自http://test.com的跨域请求  
public class MyController {  // ...  
}

或者只在需要的方法上使用:

@GetMapping("/data")  
@CrossOrigin(origins = "http://test.com")  
public ResponseEntity<String> getData() {  // ...  
}

2.全局配置

  配置WebMvcConfigurer你可以实现WebMvcConfigurer接口并重写addCorsMappings方法来全局配置CORS。

@Configuration  
public class WebConfig implements WebMvcConfigurer {  @Override  public void addCorsMappings(CorsRegistry registry) {  registry.addMapping("/**") // 允许所有路径的跨域请求  .allowedOrigins("http://test.com") // 允许来自http://test.com的跨域请求  .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的方法  .allowedHeaders("*") // 允许的头部  .allowCredentials(true) // 是否允许发送cookies  .maxAge(3600); // 预检请求的缓存时间(秒)  }  
}

3.使用过滤器(Filter)

  你也可以通过自定义Filter来处理CORS请求。这通常在你需要更复杂的CORS逻辑时使用。

@Component  
public class CorsFilter implements Filter {  @Override  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  throws IOException, ServletException {  HttpServletResponse response = (HttpServletResponse) res;  response.setHeader("Access-Control-Allow-Origin", "http://test.com");  response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");  response.setHeader("Access-Control-Allow-Headers", "*");  response.setHeader("Access-Control-Allow-Credentials", "true");  chain.doFilter(req, res);  }  // ... 其他方法  
}
注意:如果你使用@Component注解,则Spring Boot会自动注册这个过滤器。

以上是跨域问题的详细介绍,以及SpringBoot中如何解决跨域问题相关代码示例。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/27006.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

GPT-4o更容易越狱?北航南洋理工上万次测试给出详细分析

卡奥斯智能交互引擎是卡奥斯基于海尔近40年工业生产经验积累和卡奥斯7年工业互联网平台建设的最佳实践&#xff0c;基于大语言模型和RAG技术&#xff0c;集合海量工业领域生态资源方优质产品和知识服务&#xff0c;旨在通过智能搜索、连续交互&#xff0c;实时生成个性化的内容…

CentOS7下快速升级至OpenSSH9.7p2安全版本

一、CentOS7服务器上编译生成OpenSSH9.3p2的RPM包 1、编译打包的shell脚本来源于该项目 https://github.com/boypt/openssh-rpms解压zip项目包 unzip openssh-rpms-main.zip -d /opt cd /opt/openssh-rpms-main/ vim pullsrc.sh 修改第23行为source ./version.env 2、sh pull…

知识图谱存在的挑战---商业模式相关和人才相关

文章目录 商业模式相关人才相关 商业模式相关 商业模式是通过协调关系&#xff0c;利用资源&#xff0c;获得价值和利益&#xff0c;将这些内容连接起来&#xff0c;从而形成一种企业满足消费者需求的动态系统。一种商业模式包含的要素很多导致商业模式的种类也很多&#xff0c…

比较市场上14款最佳的看板工具软件

文章对比了14款看板工具软件&#xff1a;PingCode、Worktile、Trello、Asana、Teambition、Monday、ClickUp、Wrike、Jira、Kanban Tool、MeisterTask、Teamhood、Leankit by Planview、ZenHub。 看板工具以其直观的设计和灵活性&#xff0c;成为团队协作和项目跟踪的首选。通过…

Java Collections集合的工具类使用方法

import java.util.*; public class test1 {public static void main(String[] args){// Collections集合的工具类使用方法/*1.Collections.addAll(list,l1,l2,l3...) 可变参数添加对象2.Collections.shuffle(list) 打乱集合中的元素顺序3.Collection.sort(list, new Comparator…

python3的基本语法说明二

一. 简介 前一篇文章简单学习了 python3 的一些基本语法&#xff0c;文章如下&#xff1a;python3的基本语法说明一-CSDN博客 本文继续学习 python3 的基本语法。 二. python3 的基本语法 1. 多行语句 Python 通常是一行写完一条语句&#xff0c;但如果语句很长&#xff0…

【阅读论文】-- LiveRAC:系统管理时序数据的交互式可视化探索

LiveRAC&#xff1a;系统管理时序数据的交互式可视化探索 摘要引言相关工作系统管理角色和活动当前工具的局限性 迭代设计方法参加者设计阶段 设计要求可视化解决方案设计原则LiveRAC 接口执行 纵向评价非正式纵向研究方法对设计的影响使用场景 结论致谢参考文献 摘要 我们介绍…

利用免费的可视化组件,零代码制作一个电商销量大屏居然这么简单!

每到一年一度的618和双十一时&#xff0c;由于各种平台的优惠力度&#xff0c;使人们纷纷清空购物车下单&#xff0c;而在这庞大的销售数据下&#xff0c;各大商家却能够在第一时间发布整体销售业绩和数额&#xff0c;在这高效且巨大的数据背后&#xff0c;你是否有了解过展示数…

算法007:三数之和

. - 力扣&#xff08;LeetCode&#xff09;. - 备战技术面试&#xff1f;力扣提供海量技术面试资源&#xff0c;帮助你高效提升编程技能,轻松拿下世界 IT 名企 Dream Offer。https://leetcode.cn/problems/3sum/ 这个题相较于前几个题来说比较难&#xff0c;思想是前面一个题目…

优化yarn在任务执行时核数把控不准确的问题

核数不准这个事情是个概率问题&#xff0c;如果你碰见了&#xff0c;只能说你有点非欧&#xff0c;本质上是因为集群配置问题&#xff0c;默认时yarn不会去精准把控任务的核数&#xff0c;因为默认的资源计算方式是用实际内存去估算核数&#xff0c;这就导致如果大家配置任务时…

探索新领域的四步学习策略

一、构建知识框架 广泛探索&#xff1a; 在探索新领域的初始阶段&#xff0c;我们需要像探险家一样进行全面的扫描。首先&#xff0c;利用网络资源&#xff0c;广泛搜集不同难度和视角的书籍、文章、在线课程等材料&#xff0c;以确保获得多元化的视角。不要局限于单一的观点或…

LSTM 词语模型上的动态量化

原文链接 (beta) Dynamic Quantization on an LSTM Word Language Model — PyTorch Tutorials 2.3.0cu121 documentation 引言 量化涉及将模型的权重和激活值从浮点数转换为整数&#xff0c;这样可以缩小模型大小&#xff0c;加快推理速度&#xff0c;但对准确性的影响很小…

GitHub每日最火火火项目(6.14)

以下是按照要求对每个项目的总结&#xff1a; 项目名称&#xff1a;huggingface / diffusers 项目介绍&#xff1a;diffusers 是一个强大的工具库&#xff0c;专注于图像和音频生成的扩散模型。它提供了一系列预训练模型和便捷的接口&#xff0c;使开发者能够轻松地探索和利用…

vue2项目更换element-ui的主题色(绝对有效,操作简单)

vue2项目更换element-ui的主题色(绝对有效&#xff0c;操作简单) 前言&#xff1a;使用vue2element-ui开发web端项目的朋友应该会有修改element-ui主题色的需求&#xff0c;然而 网上几年前就各种传言element-ui不再维护了&#xff0c;官网显示的最后一次更新日期为2023-08-24…

leetcode打卡#day42 62. 不同路径、63. 不同路径 II、343. 整数拆分、96. 不同的二叉搜索树

62. 不同路径 class Solution { public://动态规划int uniquePaths(int m, int n) {//dp数组&#xff0c;记录到达目的地的路径数vector<vector<int>> dp(m, vector(n, 0));//初始化for(int i0; i< m; i) dp[i][0] 1;for(int i0; i< n; i) dp[0][i] 1;//遍…

【智能家居控制系统项目】一、项目系统镜像烧录与系统登录

前言 完成本章节将可以获得本项目的系统UI界面功能。本章节主要介绍如何烧录项目系统镜像以及进入系统。配套的视频介绍可以点击跳转到智能家居项目复刻配套视频 1.系统功能页面介绍 完成本章全部步骤&#xff0c;我们将可使用以下项目系统功能界面。 1.1 家居总览界面 主界面…

【成品设计】基于STM32的单相瞬时值反馈逆变器

《基于STM32的单相瞬时值反馈逆变器》 整体功能&#xff1a; 图13 软件框图 如图13所示&#xff0c;由于本设计中需要通过定时器中断执行一些程序&#xff0c;故首先对中断进行初始化。中断初始化以后即为对串口进行初始化&#xff0c;总共初始化了两个串口&#xff0c;第一个…

Ubuntu软件操作的相关命令

更新源 : sudo apt-get update 安装包 : sudo apt-get install package 删除包 : sudo apt-get remove package 搜索软件包 : sudo apt-cache search package 获取包的相关信息&#xff0c;如说明、⼤⼩、版本等 : sudo apt-cache show package 重新安装包 : sudo apt-get…

SQL SERVER触发器记录指定的几笔资料更新记录

1.目的 为了记录数据库表中资料数据动态的变更&#xff0c;实时动态且方便调整记录的范围。 2.分析 需求:记录UPDATE 修改的记录 if exists(select 1 from inserted) and exists(select 1 from deleted) &#xff1a;修改if (exists (select 1 from inserted) and n…

Unity 设置窗口置顶超级详解版

目录 前言 一、user32.dll 1.什么是user32.dll 2.如何使用user32.dll 二、句柄Handle 1.句柄 2.句柄的功能 3.拿句柄的方法 三、窗口置顶 1.窗口置顶的方法 2.参数说明 3.使用方法 四、作者的碎碎念 前言 up依旧挑战全网讲解最详细版本~~ 本篇文章讲解的是unity…