Springboot處理CORS跨域請(qǐng)求的三種方法

前言

Springboot跨域問(wèn)題,是當(dāng)前主流web開(kāi)發(fā)人員都繞不開(kāi)的難題。
但我們首先要明確以下幾點(diǎn)

  • 跨域只存在于瀏覽器端,不存在于安卓/ios/Node.js/python/ java等其它環(huán)境
  • 跨域請(qǐng)求能發(fā)出去,服務(wù)端能收到請(qǐng)求并正常返回結(jié)果,只是結(jié)果被瀏覽器攔截了。

之所以會(huì)跨域,是因?yàn)槭艿搅送床呗缘南拗?,同源策略要求源相同才能正常進(jìn)行通信,即協(xié)議、域名、端口號(hào)都完全一致。

瀏覽器出于安全的考慮,使用 XMLHttpRequest對(duì)象發(fā)起 HTTP請(qǐng)求時(shí)必須遵守同源策略,否則就是跨域的HTTP請(qǐng)求,默認(rèn)情況下是被禁止的。換句話(huà)說(shuō),瀏覽器安全的基石是同源策略。

同源策略限制了從同一個(gè)源加載的文檔或腳本如何與來(lái)自另一個(gè)源的資源進(jìn)行交互。這是一個(gè)用于隔離潛在惡意文件的重要安全機(jī)制。

目錄

一、什么是CORS?
  • CORS Header
二、SpringBoot跨域請(qǐng)求處理方式
  • 方法一、直接采用SpringBoot的注解@CrossOrigin(也支持SpringMVC)
  • 方法二、處理跨域請(qǐng)求的Configuration
  • 方法三、采用過(guò)濾器(filter)的方式
三、總結(jié)

一、什么是CORS?

CORS是一個(gè)W3C標(biāo)準(zhǔn),全稱(chēng)是”跨域資源共享”(Cross-origin resource sharing),允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請(qǐng)求,從而克服了AJAX只能同源使用的限制。

它通過(guò)服務(wù)器增加一個(gè)特殊的Header[Access-Control-Allow-Origin]來(lái)告訴客戶(hù)端跨域的限制,如果瀏覽器支持CORS、并且判斷Origin通過(guò)的話(huà),就會(huì)允許XMLHttpRequest發(fā)起跨域請(qǐng)求。

CORS Header

Access-Control-Allow-Origin: http://www.xxx.com

Access-Control-Max-Age:86400

Access-Control-Allow-Methods:GET, POST, OPTIONS, PUT, DELETE

Access-Control-Allow-Headers: content-type

Access-Control-Allow-Credentials: true

含義解釋?zhuān)?/p>

CORS Header屬性 解釋
Access-Control-Allow-Origin 允許www.xxx.com域(自行設(shè)置,這里只是示例)發(fā)起跨域請(qǐng)求
Access-Control-Max-Age 設(shè)置在86400秒內(nèi)不需要再發(fā)送預(yù)校驗(yàn)請(qǐng)求
Access-Control-Allow-Methods 設(shè)置允許跨域請(qǐng)求的方法
Access-Control-Allow-Headers 允許跨域請(qǐng)求包含content-type
Access-Control-Allow-Credentials 設(shè)置允許Cookie

二、SpringBoot跨域請(qǐng)求處理方式

方法一:
直接采用SpringBoot的注解@CrossOrigin(也支持SpringMVC)
簡(jiǎn)單粗暴的方式,Controller層在需要跨域的類(lèi)或者方法上加上該注解即可

/**
 * Created with IDEA
 *
 * @Author Chensj
 * @Date 2020/5/8 10:28
 * @Description xxxx控制層
 * @Version 1.0
 */
@RestController
@CrossOrigin
@RequestMapping("/situation")
public class SituationController extends PublicUtilController {
 
    @Autowired
    private SituationService situationService;
    // log日志信息
    private static Logger LOGGER = Logger.getLogger(SituationController.class);

}

但每個(gè)Controller都得加,太麻煩了,怎么辦呢,加在Controller公共父類(lèi)(PublicUtilController)中,所有Controller繼承即可。

/**
 * Created with IDEA
 *
 * @Author Chensj
 * @Date 2020/5/6 10:01
 * @Description
 * @Version 1.0
 */
@CrossOrigin
public class PublicUtilController {
 
    /**
     * 公共分頁(yè)參數(shù)整理接口
     *
     * @param currentPage
     * @param pageSize
     * @return
     */
    public PageInfoUtil proccedPageInfo(String currentPage, String pageSize) {
 
        /* 分頁(yè) */
        PageInfoUtil pageInfoUtil = new PageInfoUtil();
        try {
            /*
             * 將字符串轉(zhuǎn)換成整數(shù),有風(fēng)險(xiǎn), 字符串為a,轉(zhuǎn)換不成整數(shù)
             */
            pageInfoUtil.setCurrentPage(Integer.valueOf(currentPage));
            pageInfoUtil.setPageSize(Integer.valueOf(pageSize));
        } catch (NumberFormatException e) {
        }
        return pageInfoUtil;
    }
 
}

當(dāng)然,這里雖然指SpringBoot,SpringMVC也是同樣的,但要求在Spring4.2及以上的版本。

方法二:處理跨域請(qǐng)求的Configuration
增加一個(gè)配置類(lèi),CorsConfig.java。繼承WebMvcConfigurerAdapter或者實(shí)現(xiàn)WebMvcConfigurer接口,其他都不用管,項(xiàng)目啟動(dòng)時(shí),會(huì)自動(dòng)讀取配置。

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @author ***
 * @date ***
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {
    private static final String[] ORIGINS = new String[] {"GET", "POST", "PUT", "DELETE"};

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods(ORIGINS).maxAge(3600);
    }
}

方法三:采用過(guò)濾器(filter)的方式
同方法二加配置類(lèi),增加一個(gè)CORSFilter 類(lèi),并實(shí)現(xiàn)Filter接口即可,其他都不用管,接口調(diào)用時(shí),會(huì)過(guò)濾跨域的攔截。

@Component
public class CORSFilter implements Filter {
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

總結(jié)

以上就是關(guān)于Springboot比較常用的解決跨域問(wèn)題方式,希望對(duì)老鐵有所幫助。

相關(guān)文章鏈接:
https://zhuanlan.zhihu.com/p/147652844

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容