2. 程式人生 > >SpringBoot:處理跨域請求

SpringBoot:處理跨域請求

阿新 發佈:2019-08-25

一、跨域背景

1.1 何為跨域?

Url的一般格式:

協議 + 域名(子域名 + 主域名) + 埠號 + 資源地址

示例:

https://www.dustyblog.cn:8080/say/Hello 是由

https + www + dustyblog.cn + 8080 + say/Hello
組成。

只要協議,子域名,主域名,埠號這四項組成部分中有一項不同,就可以認為是不同的域,不同的域之間互相訪問資源,就被稱之為跨域。

1.2 一次正常的請求

  • Controller層程式碼:
@RequestMapping("/demo")
@RestController
public class CorsTestController {

    @GetMapping("/sayHello")
    public String sayHello() {
        return "hello world !";
    }
}
  • 啟動專案,測試請求

瀏覽器開啟localhost:8080/demo/sayHello

可以打印出“hello world”

1.3 跨域測試

以Chrome為例:

  • 開啟任意網站,如:https://blog.csdn.net

  • 按F12,開啟【開發者工具】,在裡面的【Console】可以直接輸入js程式碼測試;

var token= "LtSFVqKxvpS1nPARxS2lpUs2Q2IpGstidMrS8zMhNV3rT7RKnhLN6d2FFirkVEzVIeexgEHgI/PtnynGqjZlyGkJa4+zYIXxtDMoK/N+AB6wtsskYXereH3AR8kWErwIRvx+UOFveH3dgmdw1347SYjbL/ilGKX5xkoZCbfb1f0=,LZkg22zbNsUoHAgAUapeBn541X5OHUK7rLVNHsHWDM/BA4DCIP1f/3Bnu4GAElQU6cds/0fg9Li5cSPHe8pyhr1Ii/TNcUYxqHMf9bHyD6ugwOFTfvlmtp6RDopVrpG24RSjJbWy2kUOOjjk5uv6FUTmbrSTVoBEzAXYKZMM2m4=,R4QeD2psvrTr8tkBTjnnfUBw+YR4di+GToGjWYeR7qZk9hldUVLlZUsEEPWjtBpz+UURVmplIn5WM9Ge29ft5aS4oKDdPlIH8kWNIs9Y3r9TgH3MnSUTGrgayaNniY9Ji5wNZiZ9cE2CFzlxoyuZxOcSVfOxUw70ty0ukLVM/78=";
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://127.0.0.1:8080/demo/sayHello');
xhr.setRequestHeader("x-access-token",token);
xhr.send(null);
xhr.onload = function(e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}
  • 輸入完後直接按回車鍵就可以返回結果:
Access to XMLHttpRequest at 'http://127.0.0.1:8080/demo/sayHello' 
from origin 'https://blog.csdn.net' has been blocked by CORS policy: 
No 'Access-Control-Allow-Origin' header is present on the requested resource.

該結果表明:該請求在https://blog.csdn.net域名下請求失敗!

二、解決方案 - Cors跨域

2.1 Cors是什麼

CORS全稱為Cross Origin Resource Sharing

(跨域資源共享), 每一個頁面需要返回一個名為Access-Control-Allow-Origin的http頭來允許外域的站點訪問,你可以僅僅暴露有限的資源和有限的外域站點訪問。

我們可以理解為:如果一個請求需要允許跨域訪問,則需要在http頭中設定Access-Control-Allow-Origin來決定需要允許哪些站點來訪問。如假設需要允許https://www.dustyblog.c這個站點的請求跨域,則可以設定:

Access-Control-Allow-Origin:https://www.dustyblog.cn。

2.2 方案一:使用@CrossOrigin註解

2.2.1 在Controller上使用@CrossOrigin註解

該類下的所有介面都可以通過跨域訪問

@RequestMapping("/demo2")
@RestController
//@CrossOrigin //所有域名均可訪問該類下所有介面
@CrossOrigin("https://blog.csdn.net") // 只有指定域名可以訪問該類下所有介面
public class CorsTest2Controller {

    @GetMapping("/sayHello")
    public String sayHello() {
        return "hello world --- 2";
    }
}

這裡指定當前的CorsTest2Controller中所有的方法可以處理https://csdn.net域上的請求,這裡可以測試一下:

  • 在https://blog.csdn.net頁面開啟除錯視窗,輸入(注意:這裡請求地址是/demo2,請區別於1.2 案例中的/demo)
var token= "LtSFVqKxvpS1nPARxS2lpUs2Q2IpGstidMrS8zMhNV3rT7RKnhLN6d2FFirkVEzVIeexgEHgI/PtnynGqjZlyGkJa4+zYIXxtDMoK/N+AB6wtsskYXereH3AR8kWErwIRvx+UOFveH3dgmdw1347SYjbL/ilGKX5xkoZCbfb1f0=,LZkg22zbNsUoHAgAUapeBn541X5OHUK7rLVNHsHWDM/BA4DCIP1f/3Bnu4GAElQU6cds/0fg9Li5cSPHe8pyhr1Ii/TNcUYxqHMf9bHyD6ugwOFTfvlmtp6RDopVrpG24RSjJbWy2kUOOjjk5uv6FUTmbrSTVoBEzAXYKZMM2m4=,R4QeD2psvrTr8tkBTjnnfUBw+YR4di+GToGjWYeR7qZk9hldUVLlZUsEEPWjtBpz+UURVmplIn5WM9Ge29ft5aS4oKDdPlIH8kWNIs9Y3r9TgH3MnSUTGrgayaNniY9Ji5wNZiZ9cE2CFzlxoyuZxOcSVfOxUw70ty0ukLVM/78=";
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://127.0.0.1:8080/demo2/sayHello');
xhr.setRequestHeader("x-access-token",token);
xhr.send(null);
xhr.onload = function(e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}

返回結果:

ƒ (e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}
VM156:8 hello world --- 2

說明跨域成功!

  • 換個域名測試一下看跨域是否還有效,在https://www.baidu.com按照上述方法測試一下,返回結果:
OPTIONS http://127.0.0.1:8080/demo2/sayHello 403
(anonymous)
Access to XMLHttpRequest at 'http://127.0.0.1:8080/demo2/sayHello' 
from origin 'http://www.cnblogs.com' has been blocked by CORS policy: 
Response to preflight request doesn't pass access control check: 
No 'Access-Control-Allow-Origin' header is present on the requested resource.

說明跨域失敗!證明該方案成功指定了部分域名能跨域!

2.3 方案二:CORS全域性配置-實現WebMvcConfigurer

  • 新建跨域配置類:CorsConfig.java:
/**
 * 跨域配置
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Bean
    public WebMvcConfigurer corsConfigurer()
    {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").
                        allowedOrigins("https://www.dustyblog.cn"). //允許跨域的域名,可以用*表示允許任何域名使用
                        allowedMethods("*"). //允許任何方法(post、get等)
                        allowedHeaders("*"). //允許任何請求頭
                        allowCredentials(true). //帶上cookie資訊
                        exposedHeaders(HttpHeaders.SET_COOKIE).maxAge(3600L); //maxAge(3600)表明在3600秒內,不需要再發送預檢驗請求,可以快取該結果
            }
        };
    }
}
  • 測試,在允許訪問的域名https://www.dustyblog.cn/控制檯輸入(注意,這裡請求的是http://127.0.0.1:8080/demo3):
var token= "LtSFVqKxvpS1nPARxS2lpUs2Q2IpGstidMrS8zMhNV3rT7RKnhLN6d2FFirkVEzVIeexgEHgI/PtnynGqjZlyGkJa4+zYIXxtDMoK/N+AB6wtsskYXereH3AR8kWErwIRvx+UOFveH3dgmdw1347SYjbL/ilGKX5xkoZCbfb1f0=,LZkg22zbNsUoHAgAUapeBn541X5OHUK7rLVNHsHWDM/BA4DCIP1f/3Bnu4GAElQU6cds/0fg9Li5cSPHe8pyhr1Ii/TNcUYxqHMf9bHyD6ugwOFTfvlmtp6RDopVrpG24RSjJbWy2kUOOjjk5uv6FUTmbrSTVoBEzAXYKZMM2m4=,R4QeD2psvrTr8tkBTjnnfUBw+YR4di+GToGjWYeR7qZk9hldUVLlZUsEEPWjtBpz+UURVmplIn5WM9Ge29ft5aS4oKDdPlIH8kWNIs9Y3r9TgH3MnSUTGrgayaNniY9Ji5wNZiZ9cE2CFzlxoyuZxOcSVfOxUw70ty0ukLVM/78=";
var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://127.0.0.1:8080/demo3/sayHello');
xhr.setRequestHeader("x-access-token",token);
xhr.send(null);
xhr.onload = function(e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}

輸出結果

ƒ (e) {
    var xhr = e.target;
    console.log(xhr.responseText);
}
VM433:8 hello world --- 3

說明跨域成功,換個網址如https://www.baidu.com測試依舊出現需要跨域的錯誤提示,證明該配置正確,該方案測試通過。

2.3 攔截器實現

通過實現Fiter介面在請求中新增一些Header來解決跨域的問題

@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

三、更多

3.1 原始碼地址

Github 示例代

相關推薦

SpringBoot處理請求

一、跨域背景 1.1 何為跨域? Url的一般格式: 協議 + 域名(子域名 + 主域名) + 埠號 + 資源地址 示例: https://www.dustyblog.cn:8080/say/Hello 是由 https + www + dustyblog.cn + 8080 + say/Hello 組成。

SpringBoot專案開發(二十四)支援請求JSONP

在SpringMVC4.1版本以後,Spring為我們提供了一個AbstractJsonpResponseBodyAdvice的類用來支援jsonp的資料,SpringBoot接收解析web請求是依賴於SpringMVC,所以也可以繼承此類 程式碼如下,新增一個配置類,繼承Abstr

Spring處理請求(含有SpringBoot方式)

一次正常的請求 最近別人需要呼叫我們系統的某一個功能,對方希望提供一個api讓其能夠更新資料。由於該同學是客戶端開發,於是有了類似以下程式碼。 @RequestMapping(method = RequestMethod.POST, value = "/update.

處理請求

plain acc 發送 客戶 element title oss html http 瀏覽器具有同源策略,會禁止向與當前頁面不同的域發送請求,只要是協議,域名,端口中有任何一個不同,都被當作是不同的域,這雖然是一種保護數據的機制,但是對我們開發來說確是個麻煩,解決辦法有很

JSONP處理請求 --org.json

1, Ajax請求 (同一ip, 當前應用為8086埠, 要訪問的後端介面為8088埠, 出現跨域請求問題) $.ajax({ url: 'http://10.171.1.34:8088/ssm_test/login.do', typ

利用express+node 建立本地伺服器並利用node代理處理請求

第一步 下載安裝node.js 第二步 初始化資料夾 命令: npm init 然後一路回車 第三步 安裝express,ejs, request, npm instal

關於請求和django處理請求最佳解決方案的總結

一、什麼是跨域請求?跨域:簡單來說就是 A 網站的 javascript 程式碼試圖訪問 B 網站,包括提交內容和獲取內容。這顯然是不安全的。為此,瀏覽器的鼻祖:網景(Netscape)公司提出了優秀的

【html5】在PHP處理js的請求問題Access-Control-Allow-Origin

在javascript與伺服器的請求中,例如POST。 前提條件:如果你使用了自定義的headers引數content-type,將會被判定為複雜請求。 這時候,在請求資料之前,客戶端會發出一個型別為options的預檢資料。 用來讓伺服器確認此次的請求是否符合安全要求

Java Web 學習筆記之十二JBoss RestEasy處理OPTIONS請求方式

跨域請求問題 前提 前後端分離的B/S架構系統 前後端獨立開發,後端採用JBoss restEasy 框架搭建restful服務 後端程式碼開發完成並且部署在某一臺測試機上 前端開發過程中,需

CORS請求前後端分離

跨域 請求過濾器: /** * OncePerRequestFilter保證在任何Servlet容器中都是一個請求只執行一次的過濾器。 */ public class CorsFilter extends OncePerRequestFilter { @Override protected void do

Django 請求處理

中間件 不同 解決 span http als todo 分享 title 參考https://blog.csdn.net/qq_27068845/article/details/73007155 http://blog.51cto.com/aaronsa/2071108

aspnet mvc 中 請求處理方法

token onf head ken 跨域 AD 技術分享 protoc get   ASP.NET 處理跨域的兩種方式 方式1,後端程序處理。原理:給響應頭加上允許的域即可,*表示允許所有的域 定義一個cors的過濾器

Ajax請求本地的問題

HERE 請求參數 網絡 inf sublime 服務器 scheme 允許 ext 問題出現一: 1.Cross origin requests are only supported for protocol schemes: http, data, chrome, ch

springboot請求

oar external mar ride 方法 resp erb try noop 首頁 所有文章 資訊 Web 架構 基礎技術 書籍 教程 Java小組 工具資源 SpringBoot | 番外:使用小技巧合集 2018/09/17 | 分類:

ASP.net core API請求的異常處理遇到的坑

首先,AP跨域請求,VS2017中nuget要加上中介軟體: Microsoft.AspNetCore.Cors  我使用的2.1.1版本。 然後在Startup中這樣寫: app.UseHttpsRedirection().UseCors(buil

全解請求處理辦法

為什麼會有跨域問題 我們試想一下以下幾種情況: 我們打開了一個天貓並且登入了自己的賬號,這時我們再開啟一個天貓的商品,我們不需要再進行一次登入就可以直接購買商品,因為這兩個網頁是同源的,可以共享登入相關的 cookie 或 localStorage 資料; 如果你正在用

jsonp原理,請求處理

一.jsonp(解決跨域)思路介紹: 因瀏覽器的同源策略不會攔截link標籤內的src請求,所以利用這一點,我們把後端開放的介面路徑放在src內, 其在傳送請求後會自動接收返回的東西,所以我們可以給要返回的內容進行特殊的處理;具體做法: 1. 使用個變數加括號的形式,把要返回的內容放入括號內 &nbs

ajax請求(攜帶cookie)springboot

ajax跨域請求(攜帶cookie) 一般而言,對於跨域 XMLHttpRequest 或 Fetch 請求,瀏覽器不會發送身份憑證資訊。如果要傳送憑證資訊,需要設定 XMLHttpRequest 的某個特殊標誌位。 <!DOCTYPE h

vue 請求處理

前言:最近做了一個前後端自己獨立開發的專案,前端使用Vue,後端使用Django,研究了一下django rest api 的跨域處理和許可權管理 跨域的問題前端也可以解決後端也可以解決: 如vue框架解決跨域問題是使用代理: 再:config => index.js檔案下

Nginx反向代理實現請求

如今,RestFul介面服務比較流行,應用通過一套Http的API,並用json或者xml作為互動的資料格式來提供服務。這麼做有效地實現了web專案,前後端的分離。從而使得架構更加開放,這套API可以同時給多套前端專案提供服務,包括web端和APP端。 什麼是跨域? 跨域