文章目录
- 前言
- 一、什么是CORS
- 二、SpringBoot 实现跨域的四种方式
- 2.1 方法1:过滤器实现
- 2.2 方法2:直接用使用注解@CrossOrigin实现
- 2.3 方法3:处理跨域请求的Configuration
- 总结
前言
Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点
跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境
跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。
之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。换句话说,浏览器安全的基石是同源策略。
同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
一、什么是CORS
CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。
CORS Header
Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Max-Age:86400
Access-Control-Allow-Methods:GET, POST, OPTIONS, PUT, DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Credentials: true
二、SpringBoot 实现跨域的四种方式
2.1 方法1:过滤器实现
后端可创建类实现Filter接口,自定义请求拦截过滤器。
package com.shiyi.config.filter;
import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* 跨域过滤器
* @author smosmo
* @date 2023/5/22
* @apiNote
*/
@Component//加上组件注解,让SpringBoot容器识别到
public class MyCorsFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
//指定允许其他域名访问
response.setHeader("Access-Control-Allow-Origin", "*");
//是否允许后续请求携带认证信息(cookies),该值只能是true,否则不返回
response.setHeader("Access-Control-Allow-Credentials", "true");
//允许其他请求类型
response.setHeader("Access-Control-Allow-Methods", "*");
//允许的请求头字段
response.setHeader("Access-Control-Allow-Headers", "Content-Type,Access-Token,Authorization");
//响应报头公开,可以指定,这里默认全部公开
response.setHeader("Access-Control-Expose-Headers", "*");
//用来指定本次预检请求的有效期,单位为秒,,在此期间不用发出另一条预检请求
response.setHeader("Access-Control-Max-Age", "3600");
chain.doFilter(req, res);
}
public void init(FilterConfig filterConfig) {}
public void destroy() {}
}
2.2 方法2:直接用使用注解@CrossOrigin实现
@RestController
@CrossOrigin
@RequestMapping("/situation")
public class SituationController extends PublicUtilController {
@Autowired
private SituationService situationService;
// log日志信息
private static Logger LOGGER = Logger.getLogger(SituationController.class);
}但每个Controller都得加,太麻烦了,怎么办呢,加在Controller公共父类(PublicUtilController)中,所有Controller继承即可。
@CrossOrigin
public class PublicUtilController {
}@RestController
@RequestMapping("/situation")
public class UserController extends PublicUtilController
{
}
当然,这里虽然指SpringBoot,SpringMVC也是同样的,但要求在Spring4.2及以上的版本。另外,如果SpringMVC框架版本不方便修改,也可以通过修改tomcat的web.xml配置文件来处理
SpringMVC使用@CrossOrigin使用场景要求
jdk1.8+
Spring4.2+
2.3 方法3:处理跨域请求的Configuration
增加一个配置类,CrossOriginConfig.java。继承WebMvcConfigurerAdapter或者实现WebMvcConfigurer接口,其他都不用管,项目启动时,会自动读取配置。
@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
static final String ORIGINS[] = new String[] { "GET", "POST", "PUT", "DELETE" };
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods(ORIGINS).maxAge(3600);
}
}总结
时间过的飞快,感觉没做什么,一周时间就这样过去了,新的星期又开始了,友友们有这样的困惑吗?。
