首頁>網絡編程教程>Java教程

Java Spring boot 2.0 跨域問題的解決

作者:Eve Cole 更新時間:2025-08-13 01:48:01

跨域

一個資源會發起一個跨域HTTP請求(Cross-site HTTP request), 當它請求的一個資源是從一個與它本身提供的第一個資源的不同的域名時。

比如說,域名A(http://domaina.example)的某Web 應用程序中通過標籤引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那Web 應用就會導致瀏覽器發起一個跨站HTTP 請求。在當今的Web 開發中,使用跨站HTTP 請求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成為了一種普遍且流行的方式。

正如大家所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。比如,使用XMLHttpRequest對象發起HTTP 請求就必須遵守同源策略。 具體而言,Web 應用程序能且只能使用XMLHttpRequest 對象向其加載的源域名發起HTTP 請求,而不能向任何其它域名發起請求。為了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望著在不丟失安全的前提下,Web 應用技術能越來越強大、越來越豐富。比如,可以使用XMLHttpRequest 發起跨站HTTP 請求。 (這段描述跨域不准確,跨域並非瀏覽器限制了發起跨站請求,而是跨站請求可以正常發起,但是返回結果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理,請求是發送到了後端服務器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)

more:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

CROS

CORS 全稱為Cross Origin Resource Sharing(跨域資源共享),服務端只需添加相關響應頭信息,即可實現客戶端發出AJAX 跨域請求。

@CrossOrigin

1.在Controller上直接使用Controller上的所有請求都可以跨域,origins = "*" 代表所有都能請求

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController { @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... }}

2. 在方法上使用

@CrossOrigin(maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController { @CrossOrigin("http://domain2.com") @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... }}

另一中方法:

CorsFilter 主要目的便是添加相關的信息頭,使用Filter也可以實現。

 @Configurationpublic class BeanConfiguration { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource(); final CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.setAllowCredentials(true); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.addAllowedHeader("*"); corsConfiguration.addAllowedMethod("*"); urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration); return new CorsFilter(urlBasedCorsConfigurationSource); }}

Access-Control-Allow-Origin:允許訪問的客戶端域名,例如:http://web.xxx.com,若為*,則表示從任意域都能訪問,即不做任何限制。

  1. Access-Control-Allow-Methods:允許訪問的方法名,多個方法名用逗號分割,例如:GET,POST,PUT,DELETE,OPTIONS。
  2. Access-Control-Allow-Credentials:是否允許請求帶有驗證信息,若要獲取客戶端域下的cookie 時,需要將其設置為true。
  3. Access-Control-Allow-Headers:允許服務端訪問的客戶端請求頭,多個請求頭用逗號分割,例如:Content-Type。
  4. Access-Control-Expose-Headers:允許客戶端訪問的服務端響應頭,多個響應頭用逗號分割。

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持武林網。

相關文章