SpringBoot进阶SpringBoot中如何解决跨域问题
什么是跨域问题
浏览器出于安全考虑,会限制跨域访问,就是不允许跨域请求资源,要求协议,IP和端口必须都相同,其中有一个不同就会产生跨域问题,这就是同源策略。
简单的说A应用只能访问A应用对应的后台返回的数据,B应用只能访问B应用后台的数据,如果A应用通过Ajax请求了B应用对应的后台数据的时候就会出现跨域的问题。但是在实际开发中,这种调用方式又是被大家广泛使用的。非同源限制
什么是非同源限制?浏览器为了安全限制了一些操作,限制了一些请求是无法访问非同源的操作的。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法获取到非同源网页的DOM无法向非同源地址发送Ajax请求操作CORS技术
为了解决上述问题,W3C提出了跨院资源共享方案,也就是CORS技术(Cross-Origin Resource Sharing)
CORS 可以在不破坏现有规则的情况下,通过后端服务器实现CORS接口,从而实现跨域通信。CORS请求分为两类:简单请求和非简单请求,分别对跨域通信提供了支持操作。什么是简单请求
在CORS技术出现之前,在HTTP请求头中不能包含任何的自定义字段,而且HTTP请求信息也不能操作如下的一些AcceptAccept_LanguageContent_LanguageLast-Event-IDContent-Type(application/x-www-form-urlencoded、multipart/form-data、text/plain)
根据对简单请求的的分析,CORS的策略是在请求时在请求头中增加一个Origin字段,服务器收到请求后,根据该字段判断是否允许该请求访问。如果允许,就在HTTP请求头信息中添加Access-Control-Allow-Origin字段,并且返回正确的字段如果不允许,就不加入该字段
处理Access-Control-Allow-Origin字段,还有其他的字段可以描述CORS返回结果Access-Control-Allow-Credentials:可选,用户是否可以发送、处理cookie。Access-Control-Expose-Headers: 可选,可以让用户拿到的字段,有即可字段无论设置与否都可以获取到,包括Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。什么是非简单请求
对于非简单请求的跨源请求,浏览器会在真实请求发出前增加一次OPTION请求,称为预检请求。在预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到HTTP头信息字段中,询问服务器是否允许这样的操作。
例如在一个GET请求中,与CORS相关的字段有:请求使用的HTTP方法 Access-Control-Request-Method请求中包含的自定义头字段Access-Control-Request-Headers
服务器收到请求时,需要对Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回HTTP头信息中添加如下的的内容Access-Control-Allow-Origin:Access-Control-Allow-Methods :真实请求允许的方法Access-Control-Allow-Headers :服务器允许使用的字段Access-Control-Allow-Credentials :是否允许用户发送、处理CookieAccess-Control-Max-Age :预检请求的有效期,单位为秒,有效期内,不会重复发送预检请求在Spring Boot中如何实现跨域
对于CORS的跨域请求,主流的解决方案有如下几种添加跨域配置类重写WebMvcConfigurer使用@CrossOrigin注解手动设置响应头自定义过滤器
对于前后端分离的项目还可以通过配置Nginx的方式实现跨域操作
CorFilter / WebMvConfigurer / @CrossOrigin 需要 SpringMVC 4.2以上版本才支持,对应springBoot 1.3版本以上上面前两种方式属于全局 CORS 配置,后两种属于局部 CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则
所以可以通过 @CrossOrigin 注解来进行细粒度更高的跨域资源控制。其实无论哪种方案,最终目的都是修改响应头,向响应头中添加浏览器所要求的数据,进而实现跨域 添加跨域配置类
新建一个全局的跨域配置文件,然后添加对应的Cors跨域信息,包括放行原始域、发送Cookie等操作,代码如下。@Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { //1. 添加 CORS配置信息 CorsConfiguration config = new CorsConfiguration(); //放行哪些原始域 config.addAllowedOrigin("*"); //是否发送 Cookie config.setAllowCredentials(true); //放行哪些请求方式 config.addAllowedMethod("*"); //放行哪些原始请求头部信息 config.addAllowedHeader("*"); //暴露哪些头部信息 config.addExposedHeader("*"); //2. 添加映射路径 UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource(); corsConfigurationSource.registerCorsConfiguration("/**",config); //3. 返回新的CorsFilter return new CorsFilter(corsConfigurationSource); } }重写WebMvcConfigurer
重新实现WebMvcConfigurer@Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") //允许跨域访问 .allowedOrigins("*") // 允许跨域访问的源 .allowedMethods("POST","GET","PUT","DELETE","OPTIONS") //允许请求的方式 .maxAge(168000) // 预检间隔时间 .allowCredentials(true); // 是否发送Cookie } }注解 @CrossOrigin
注意使用这个注解只是对局部接口实现了跨域操作,代码如下@RestController @CrossOrigin(origins = "*") public class HelloController { @RequestMapping("/hello") public String hello() { return "hello world"; } }
如果是在方法上使用这个注解则表示只允许这个方法进行跨域访问@RequestMapping("/hello") @CrossOrigin(origins = "*") //@CrossOrigin(value = "http://localhost:8081") //指定具体ip允许跨域 public String hello() { return "hello world"; }手动设置过滤头@RestController @RequestMapping("/api") public class ApiController { @GetMapping("getList") public String getList(HttpServletResponse response){ response.addHeader("Access-Allow-Control-Origin","*"); return "OK"; } }
自定义过滤器@Component public class CorsFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) servletResponse; response.setHeader("Access-Control-Allow-Origin","*"); response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE"); response.setHeader("Access-Control-Max-Age","3600"); response.setHeader("Access-Control-Allow-Headers","x-requested-with,content-type"); filterChain.doFilter(servletRequest,servletResponse); } @Override public void destroy() { } }
当然自定的话就会涉及到这个配置如何去使用的问题。在之前的文章中我们有讲过如何使用自定义的拦截器。这里我们就在过多说明,有兴趣的读者可以查看之前的文章。Nginx服务器反向代理
通过反向代理监听同样的端口、同样的域名的不同访问地址。例如可以在Nginx配置中进行如下的配置server { listen 80; server_name abc.com; #charset koi8-r; #access_log logs/host.access.log main; location /client { #访问客户端路径 proxy_pass http://localhost:81; proxy_redirect default; } location /apis { #访问服务器路径 rewrite ^/apis/(.*)$ /$1 break; proxy_pass http://localhost:82; } }
可以将不同路径的请求分别转发到客户端和服务器端,利用Nginx反向代理技术来实现跨域操作。总结
当然对于跨域问题还有很多前端实现方式。这里我们主要讲关于后端的实现的方式,对于前端实现方式有兴趣的读者可以自己了解。东西不多,都是干活,希望大家多多关注。
他16岁给许世友当警卫员,4年后比许还高半级,是最年轻的军政委他16岁给许世友当警卫员,4年后比许还高半级,是最年轻的军政委1927年,蒋介石背叛革命,开始大肆抓捕共产党员,一些意志不坚定的人就纷纷当了叛徒,出卖组织。面对白色恐怖,更多的人选
聊聊阿米尔汗电影背后的文明博弈聊聊电影背后的文明博弈,聊聊历史。阿米尔汗在中国国内,是一个非常火的印度明星,因为他和我们传统印象中迷信重男轻女狂妄的印度人不一样,他电影体现的思想非常进步,同时为人也非常的儒雅随
男篮能否双杀高配版的日本男篮11月28日,中国男篮以大比分战胜日本男篮,迎来世预赛的两连胜!对于比赛结果并不意外,他们的硬实力比中国男篮弱不少。但是有些人认为现在的日本男篮是日本的二队(低配版),他们参加东京
所谓机遇,是好运撞上你的努力所罗门说过智者的眼睛长在头上,而愚者的眼睛是长在脊背上的。只有那些富有理解力的眼光才能穿透事物的现象,深入到事物的内在结构和本质之中去,他们才能看到差别,进行比较,抓住潜藏在表象后
他吃光了钓鱼用的鱼饵,惹得宋仁宗很不高兴王安石往昔旧事他是位高权重的宰相他是救人急难的君子他是过目不忘的才俊他还是不注重仪表的油腻男一个敢于集大文豪政治家诗人和油腻男为一体的人,他叫王安石。作为唐宋八大家的王安石,其诗文给人简约清雅的
第二地球宇宙超级地球系列,你知道几个?如果宇宙中真的找到了第二个地球,并且人类有机会可以到达那里,你愿意看看看吗?宇宙的大小实在太过虚幻,人类现有的计算单位已经不足以将其用具体的数据的表述出来,还不说我们尚未探索到其边
王者荣耀待遇最好系列,稷下一年内都有新皮,四美传说史诗全都有相信小伙伴们都知道,王者荣耀是一个有自己世界观的游戏,其中很多英雄都是分成不同系列的,那么哪些英雄的待遇最好呢?赶紧来看看吧!第一个要提名的就是稷下学院,这是世界观当中很重要的组成
临睡前喝牛奶2年,娃11岁了身高只有1米2,原来喝奶时间不对爸妈很在乎孩子的身高,生怕孩子长得矮,上学后被人嘲笑,受人欺负。毕竟,个子矮的孩子遭人歧视,这是不争的事实。好在,一些有先见之明的爸妈,早就知道这些事,会格外关注孩子的身高发育,提
郑州孕妇回应怀上八胞胎,坦言最多留四五个,婆婆两个就够本文由兜妈爱叨叨原创,版权所有,侵权必究生活中,很多人都认为能怀上双胞胎是一件非常幸运的事情,毕竟一次性就能解决二胎问题,倘若孕妇可以一次性怀上三胞胎或多胞胎,那就更为罕见了。近日
储存新会陈皮需注意哪些问题?导读分享新会陈皮知识,趣说陈皮文化,地道泡每天与你一起分享地道新会陈皮知识。周末经过一旅游景点,听到了旅客们在议论新会陈皮,有的说新会陈皮价值越来越高,考虑大量去储存有的说储存新会
这些藏族人的美食,你吃过几个?如果你没有吃过藏族美食,那就等于没有去过藏区。藏族是中国56个民族之一,也是中国最古老的民族之一。藏族有自己的语言,文字,服饰以及美食文化。这些藏餐营养又美味,酸甜苦辣,色香味俱全