Java Spring boot 2.0 跨域問題
跨域
一個資源會發起一個跨域HTTP請求(Cross-site HTTP request), 當它請求的一個資源是從一個與它本身提供的第一個資源的不同的域名時 。
比如說,域名A(http://domaina.example)的某 Web 應用程序中通過標簽引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會導致瀏覽器發起一個跨站 HTTP 請求。在當今的 Web 開發中,使用跨站 HTTP 請求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成為了一種普遍且流行的方式。
正如大家所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。比如,使用 XMLHttpRequest
對象發起 HTTP 請求就必須遵守同源策略。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。為了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望著在不丟失安全的前提下,Web 應用技術能越來越強大、越來越豐富。比如,可以使用 XMLHttpRequest 發起跨站 HTTP 請求。(這段描述跨域不準確,跨域並非瀏覽器限制了發起跨站請求,而是跨站請求可以正常發起,但是返回結果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理,請求是發送到了後端服務器無論是否跨域!註意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)
more:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
CROS
CORS 全稱為 Cross Origin Resource Sharing(跨域資源共享),服務端只需添加相關響應頭信息,即可實現客戶端發出 AJAX 跨域請求。
@CrossOrigin
- 在Controller上直接使用 Controller上的所有請求都可以跨域 ,origins = "*" 代表所有都能請求
1 @CrossOrigin(origins = "http://domain2.com", maxAge = 3600) 2 @RestController3 @RequestMapping("/account") 4 public class AccountController { 5 6 @RequestMapping("/{id}") 7 public Account retrieve(@PathVariable Long id) { 8 // ... 9 } 10 11 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") 12 public void remove(@PathVariable Long id) { 13 // ... 14 } 15 }
2. 在方法上使用
1 @CrossOrigin(maxAge = 3600) 2 @RestController 3 @RequestMapping("/account") 4 public class AccountController { 5 6 @CrossOrigin("http://domain2.com") 7 @RequestMapping("/{id}") 8 public Account retrieve(@PathVariable Long id) { 9 // ... 10 } 11 12 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") 13 public void remove(@PathVariable Long id) { 14 // ... 15 } 16 }
另一中方法:
CorsFilter 主要目的便是添加相關的信息頭,使用Filter也可以實現。
1 @Configuration 2 public class BeanConfiguration { 3 4 @Bean 5 public CorsFilter corsFilter() { 6 final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource(); 7 final CorsConfiguration corsConfiguration = new CorsConfiguration(); 8 corsConfiguration.setAllowCredentials(true); 9 corsConfiguration.addAllowedOrigin("*"); 10 corsConfiguration.addAllowedHeader("*"); 11 corsConfiguration.addAllowedMethod("*"); 12 urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration); 13 return new CorsFilter(urlBasedCorsConfigurationSource); 14 } 15 16 }
- Access-Control-Allow-Origin:允許訪問的客戶端域名,例如:http://web.xxx.com,若為 *,則表示從任意域都能訪問,即不做任何限制。
- Access-Control-Allow-Methods:允許訪問的方法名,多個方法名用逗號分割,例如:GET,POST,PUT,DELETE,OPTIONS。
- Access-Control-Allow-Credentials:是否允許請求帶有驗證信息,若要獲取客戶端域下的 cookie 時,需要將其設置為 true。
- Access-Control-Allow-Headers:允許服務端訪問的客戶端請求頭,多個請求頭用逗號分割,例如:Content-Type。
- Access-Control-Expose-Headers:允許客戶端訪問的服務端響應頭,多個響應頭用逗號分割。
Java Spring boot 2.0 跨域問題