Spring 跨域配置请求详解

更新时间：2019年01月09日 15:09:40 作者：BBFBBF

这篇文章主要介绍了Spring 跨域配置请求详解，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

介绍

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说，域名A（http://domaina.example）的某 Web 应用程序中通过标签引入了域名B（http://domainb.foo）站点的某图片资源（http://domainb.foo/image.jpg），域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中，使用跨站 HTTP 请求加载各类资源（包括CSS、图片、JavaScript 脚本以及其它类资源），已经成为了一种普遍且流行的方式。

出于安全考虑，浏览器会限制脚本中发起的跨站请求。比如，使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略（same-origin policy）。具体而言，Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求，而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序，开发人员渴望着在不丢失安全的前提下，Web 应用技术能越来越强大、越来越丰富。比如，可以使用 XMLHttpRequest 发起跨站 HTTP 请求。（这段描述跨域不准确，跨域并非浏览器限制了发起跨站请求，而是跨站请求可以正常发起，但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理，请求是发送到了后端服务器无论是否跨域！注意：有些浏览器不允许从HTTPS的域跨域访问HTTP，比如Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求，这是一个特例。）

普通参数跨域

在response的头文件添加

httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");

参数	值	描述
Access-Control-Allow-Origin	*	授权的源控制
Access-Control-Allow-Credentials	true / false	是否允许用户发送和处理cookie
Access-Control-Allow-Methods	[,]*	允许请求的HTTP Method，多个用逗号分隔
Access-Control-Allow-Headers	[,]*	控制哪些header能发送真正的请求，多个用逗号分隔
Access-Control-Max-Age	秒	授权的时间，单位为秒。有效期内，不会重复发送预检请求

带headr请求跨域

这样客户端需要发起OPTIONS请求，可以说是一个【预请求】，用于探测后续真正需要发起的跨域 POST 请求对于服务器来说是否是安全可接受的，因为跨域提交数据对于服务器来说可能存在很大的安全问题。

因为Springmvc模式是关闭OPTIONS请求的，所以需要开启

<servlet>  
 <servlet-name>application</servlet-name>
 <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
 <init-param>
  <param-name>dispatchOptionsRequest</param-name>
  <param-value>true</param-value>
 </init-param>
 <load-on-startup>1</load-on-startup>
</servlet>

开启CORS

SpringMVC从4.2版本开始增加了对CORS的支持。在springMVC 中增加CORS支持非常简单，可以配置全局的规则，也可以使用@CrossOrigin注解进行细粒度的配置。

使用@CrossOrigin注解

先通过源码看看该注解支持的属性

在Controller上使用@CrossOrigin注解

// 指定当前的AccountController中所有的方法可以处理所有域上的请求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

CORS全局配置

除了细粒度基于注解的配置，可以定义全局CORS的配置。这类似于使用过滤器，但可以在Spring MVC中声明，并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

基于XML的配置

<mvc:cors>
 <mvc:mapping path="/api/**"
  allowed-origins="http://domain1.com, http://domain2.com"
  allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
  allowed-headers="header1, header2, header3"
  exposed-headers="header1, header2" 
  allow-credentials="false"
  max-age="72000" />

  <mvc:mapping path="/resources/**"
  allowed-origins="http://domain3.com" />
</mvc:cors>

基于代码的配置

这个方法同样适用于SpringBoot。

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

 @Override
 public void addCorsMappings(CorsRegistry registry) {
  registry.addMapping("/api/**")
   .allowedOrigins("http://domain1.com")
   .allowedOrigins("http://domain2.com")
   .allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
   .allowedHeaders("header1", "header2", "header3")
   .exposedHeaders("header1", "header2")
   .allowCredentials(false)
   .maxAge(72000L);
   
  registry.addMapping("/resources/**")
   .allowedOrigins("http://domain3.com");
 }
}

基于过滤器的配置

import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean
public FilterRegistrationBean corsFilter() {
 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
 CorsConfiguration config = new CorsConfiguration();
 config.addAllowedOrigin("http://domain1.com");
 config.addAllowedOrigin("http://domain2.com");
 config.addAllowedHeader("*");
 config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
 config.setAllowCredentials(true);
 config.setMaxAge(72000L);
 // CORS 配置对所有接口都有效
 source.registerCorsConfiguration("/**", config);
 FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
 bean.setOrder(0);
 return bean;
}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

spring boot 自动更新静态文件和后台代码的实例
下面小编就为大家分享一篇spring boot 自动更新静态文件和后台代码的实例，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
2017-12-12
深入了解HttpClient的ResponseHandler接口
这篇文章主要为大家介绍了深入了解HttpClient的ResponseHandler接口，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-10-10
SpringBoot+Shiro+Redis+Mybatis-plus 实战项目及问题小结
最近也是一直在保持学习课外拓展技术，所以想自己做一个简单小项目，于是就有了这个快速上手 Shiro 和 Redis 的小项目，说白了就是拿来练手调调 API，然后做完后拿来总结的小项目，感兴趣的朋友一起看看吧
2021-04-04
利用maven deploy上传本地jar至私服的方法
这篇文章主要介绍了利用maven deploy上传本地jar至私服的方法,本文结合实例代码给大家介绍的非常详细，需要的朋友可以参考下
2023-02-02
Java线程池的几种实现方法及常见问题解答
下面小编就为大家带来一篇Java线程池的几种实现方法及常见问题解答。小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-05-05
Java数据类型转换实例解析
这篇文章主要介绍了Java数据类型转换实例解析,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-11-11
JPA findById方法和getOne方法的区别说明
这篇文章主要介绍了JPA findById方法和getOne方法的区别，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教。
2021-08-08
Java实现二分查找树及其相关操作
二分查找树是一种有组织的二叉树。我们可以通过链接节点表示这样一棵树，二分查找树（Binary Search Tree）的基本操作有搜索、求最大值、求最小值、求前驱、求后继、插入及删除，对java二分查找树相关知识感兴趣的朋友一起看看吧
2021-07-07
Java获取汉字对应的拼音(全拼或首字母)
这篇文章主要介绍了Java如何获取汉字对应的拼音(全拼或首字母),文中实现的方法是引用了pinyin4j-2.5.0.jar，然后给出了完整的示例代码，有需要的朋友可以参考借鉴，下面来一起看看吧。
2017-01-01
Java学习基础之安装JDK/配置JDK环境&IEDA工具安装
这篇文章主要介绍了Java学习基础系列文章的第一篇,主要内容是安装JDK/配置JDK环境&IEDA工具安装的相关资料,需要的朋友可以参考下
2020-02-02