详解springboot解决CORS跨域的三种方式

2024-04-02 19:04:59 856人浏览安东尼

Python 官方文档：入门教程 => 点击学习

摘要

目录一、实现WEBmvcConfigurer接口二、实现filter过滤器方式三、注解@CrossOrigin四、实战五、cookie的跨域一、实现WebMvcConfigurer接

一、实现WebMvcConfigurer接口

@Configuration
public class WebConfig implements WebMvcConfigurer {
    
    @Override
    public void addCorsMappings(CorsReGIStry registry) {
        // 允许跨域访问的路径  '/**'表示应用的所有方法
        registry.addMapping("/**")
            // 允许跨域访问的来源 '*'表示所有域名来源
            .allowedOriginPatterns("*")
            // .allowedOrigins("*") // 允许跨域访问的来源 SpringBoot2.4.0之前的版本
            // 允许跨域请求的方法  '*'表示所有
            .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
            // 是否允许发送cookie true-允许 false-不允许 默认false。对服务器有特殊要求的请求，比如请求方法是PUT或DELETE，或者Content-Type字段的类型是application/JSON，这个值只能设为true
            .allowCredentials(true)
            // 预检间隔时间1小时，单位为秒。指定本次预检请求的有效期，在有效期间，不用发出另一条预检请求。
            // 浏览器发出CORS简单请求，只需要在头信息之中增加一个Origin字段
            // 浏览器发出CORS非简单请求，会在正式通信之前，增加一次OPTIONS查询请求，称为"预检"请求（preflight）。浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些Http动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。
            .maxAge(3600)
            // 允许跨域请求可携带的header，'*'表所有header头。CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定
            .allowedHeaders("*");
    }
}

二、实现filter过滤器方式

@WebFilter
@Configuration
public class CorsFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        httpservletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
    }
}

三、注解@CrossOrigin

@CrossOrigin(originPatterns = "*", allowCredentials = "true")

@CrossOrigin可配置在方法上，也可配置在类上。

四、实战

创建两个普通的springBoot项目A、B，A配置8081端口，B配置8082端口。

在A的resources/static目录下创建一个html文件index.html：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
 
<!-- Jquery库可百度jquery cdn -->
<script src="https://cdn.bootcdn.net/ajax/libs/jquery/3.6.0/jquery.js"></script>
<script>
    function btnClick() {
        $.get('http://localhost:8082/hello/hello', function (msg) {
            $("#app").html(msg);
        });
    }
 
    function btnClick2() {
        $.post('http://localhost:8082/hello/hello', function (msg) {
            $("#app").html(msg);
        });
    }
</script>
 
<body>
 
<div id="app"></div>
<input type="button" onclick="btnClick()" value="get_button">
<input type="button" onclick="btnClick2()" value="post_button">
 
</body>
</html>

B提供2个web接口：

@RestController
@RequestMapping("/hello")
public class HelloController {
    // @CrossOrigin(originPatterns = "*", allowCredentials = "true")
    @GetMapping("/hello")
    public String hello() {
        System.out.println("get hello");
        return "get hello";
    }
 
    // @CrossOrigin(originPatterns = "*", allowCredentials = "true")
    @PostMapping("/hello")
    public String hello2() {
        System.out.println("post hello");
        return "post hello";
    }
}

分别启动A、B服务，浏览器访问A的index.html，点击按钮，浏览器控制台报错如下：http://localhost:8081/index.html

Access to XMLHttpRequest at 'http://localhost:8082/hello/hello' from origin 'http://localhost:8081' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

为B项目使用方式一，添加跨域支持，重启，再次点击按钮，可正常访问，观察响应头多了支持跨域的信息：

五、cookie的跨域

从Chrome51开始，浏览器cookie添加了一个新属性SameSite，以防止 CSRF 攻击和用户跟踪。

SameSite可取值：Strict、Lax、None。

Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。换言之，只有当前网页的 URL 与请求目标一致，才会带上 Cookie。

Lax规则稍稍放宽，大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外。导航到目标 URL 的 GET 请求仅包括三种情况：链接、预加载请求和 GET 表单。

网站可以选择显式关闭SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

SpringBoot 2.6及以上版本

网上查到可使用配置（但亲测无效！）：

server.servlet.session.cookie.same-site=none
server.servlet.session.cookie.secure=true

SpringBoot 2.6以下版本

如果使用 Tomcat 作为服务器，则可以通过以下配置设置会话 cookie 的 SameSite 属性(亲测无效！)。

server.servlet.session.cookie.secure=true

@Configuration
public class TomcatCookieConfig {
    @Bean
    public TomcatContextCustomizer sameSiteCookiesConfig() {
        return context -> {
            final Rfc6265CookieProcessor cookieProcessor = new Rfc6265CookieProcessor();
            // SameSite
            cookieProcessor.setSameSiteCookies(SameSiteCookies.NONE.getValue());
            context.setCookieProcessor(cookieProcessor);
        };
    }
}

如果您使用的是 Spring-Session，那么您可以使用以下配置来设置 cookie 的 SameSite 属性。

        <dependency>
            <groupId>org.springframework.session</groupId>
            <artifactId>spring-session-core</artifactId>
        </dependency>

@Configuration
public class SpringSessionConfiguration {
    @Bean
    public CookieSerializer cookieSerializer() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        // Strict-严格模式 Lax-松懈模式 None-无
        cookieSerializer.setSameSite("None");
        cookieSerializer.setUseSecureCookie(true);
        return cookieSerializer;
    }
}

自己的解决方式

@Configuration
public class CookieConfig {
    private static String domain;
 
    @Value("${domain}")
    public void setDomain(String domain) {
        CookieConfig.domain = domain;
    }
 
    public static HttpCookie generateHttpCookie(String name, String value) {
        return ResponseCookie.from(name, value)
            .domain(domain)
            // cookie跨域设置
            .sameSite("None")
            // 在https下传输，配合sameSite=None使用
            .secure(true)
            .path("/")
            // 有效期24小时
            .maxAge(60 * 60 * 24)
            .build();
    }
}

    @GetMapping("/hello")
    public String hello(HttpServletResponse response) {
        HttpCookie cookie2 = CookieConfig.generateHttpCookie("age", "18");
        response.addHeader(HttpHeaders.SET_COOKIE, cookie2.toString());
        HttpCookie cookie3 = CookieConfig.generateHttpCookie("id", "77");
        response.addHeader(HttpHeaders.SET_COOKIE, cookie3.toString());
        System.out.println("get hello");
        return "get hello";
    }

参考：https://www.cnblogs.com/javastack/p/14255114.html

到此这篇关于详解springboot解决CORS跨域的三种方式的文章就介绍到这了,更多相关springboot CORS跨域内容请搜索编程网以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程网！

您可能感兴趣的文档:

点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: 详解springboot解决CORS跨域的三种方式

本文链接: https://www.lsjlt.com/news/153180.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑，方便收藏和打印～

下载Word文档

去做题

猜你喜欢

详解springboot解决CORS跨域的三种方式

目录一、实现WebMvcConfigurer接口二、实现filter过滤器方式三、注解@CrossOrigin四、实战五、cookie的跨域一、实现WebMvcConfigurer接...

99+

2024-04-02
解决SpringBoot跨域的三种方式

目录一、什么是跨域1.1、为什么会出现跨域问题1.2、什么是跨域1.3、非同源限制1.4、如何解决跨域问题二、SpringBoot解决跨域问题2.1、配置CorsFilter(全局跨...

99+

2024-04-02
springboot解决CORS跨域的方式有哪些

这篇文章主要介绍“springboot解决CORS跨域的方式有哪些”，在日常操作中，相信很多人在springboot解决CORS跨域的方式有哪些问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”springboo...

99+

2023-07-02
SpringBoot解决跨域的5种方式小结

目录什么是跨域 java解决CORS跨域请求的方式返回新的CorsFilter(全局跨域) 重写WebMvcConfigurer(全局跨域) 使用注解 (局部跨域) 手动设置响应头...

99+

2024-04-02
SpringBoot跨域问题的五种解决方式

目录一、什么是跨域 CORS二、为什么会有跨域问题三、有哪些跨域类型四、解决跨域问题的五种方式1. 添加跨域配置类2. 重写WebMvcConfigurer3. 注解 @CrossO...

99+

2024-04-02
详解Spring MVC CORS 跨域

介绍跨域CORS，全称是"跨域资源共享"（Cross-origin resource sharing）当页面发出跨域请求时:简单请求(先简单理解为正常的get/post吧):浏览器将请求的地址添加到header的Origin里面发送请求。接...

99+

2023-05-31

spring mvc cors
thinkphp 解决跨域的三个方式

1. 在tp入口index.php 加上header //支持跨域header("Access-Control-Allow-Origin:*");header('Access-Control-Allow-Methods:*');heade...

99+

2023-10-24

nginx
最新springboot解决跨域的几种方式小结

目录什么是跨域springboot解决跨域的几种方式方法一、SpringBoot的注解@CrossOrigin方式二：使用CorsFilter方式三：自定义过滤（web ...

99+

2024-04-02
Nodejs如何解决跨域(CORS)

目录Nodejs解决跨域(CORS)手动配置CORS模块axiosNodejs CORS跨域问题总结Nodejs解决跨域(CORS) 前后端分离的大环境下，受制于同源策略，我们需要懂...

99+

2023-01-17

Nodejs跨域 Nodejs解决跨域 Nodejs CORS
解决Django cors跨域问题

Django cors跨域问题前后端分离项目中的跨域问题即同源策略同源策略：同源策略/SOP（Same origin policy）是一种约定，由 Netscape 公司 19...

99+

2024-04-02
跨域(CORS)问题的解决方案分享

目录前后端分离项目，如何解决跨域问题什么是跨域问题跨域问题演示及解决点击前端登录按钮覆盖默认的CorsFilter来解决该问题重新运行代码，点击登录按钮设置SpringSecurit...

99+

2023-02-13

cors跨域问题 CORS跨域解决方案 CORS解决跨域的几种实现方式
springboot解决跨域的方式有哪些

这篇文章主要介绍“springboot解决跨域的方式有哪些”，在日常操作中，相信很多人在springboot解决跨域的方式有哪些问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”springboot解决跨域的方式...

99+

2023-06-30
Ajax解决跨域之设置CORS响应头实现跨域案例详解

1.设置CORS响应头实现跨域跨源资源共享（CORS） 1.1 什么是CORS CORS（Cross-Origin Resource Sharing），跨域资源共享。CORS 是官...

99+

2024-04-02
详解SpringBoot禁用Swagger的三种方式

目录摘要方法禁用方法1：禁用方法2：禁用方法3：摘要在生产环境下，我们需要关闭swagger配置，避免暴露接口的这种危险行为。方法禁用方法1：使用注解 @Value() 推荐...

99+

2024-04-02
详解Springboot下载Excel的三种方式

汇总一下浏览器下载和代码本地下载实现的3种方式。（其实一般都是在代码生成excel，然后上传到oss，然后传链接给前台，但是我好像没有实现过直接点击就能在浏览器下载的功能，所以这次...

99+

2024-04-02
简单易懂的JSONP和CORS跨域方案详解

目录一、了解跨域何为跨域何为同源二、跨域解决方案JSONP（JSON with Padding）简单实现流程图封装优缺点CORS(Cross-Origin Resource Shar...

99+

2022-11-13

JSONP CORS跨域方案 JSONP CORS
SpringBoot解决跨域的方法详细教程

Spring Boot提供了多种解决跨域问题的方法，以下是其中几种常用的方法：使用@CrossOrigin注解是一种简单且快速的解决跨域问题的方法。在Spring Boot的Controller类或...

99+

2023-10-08

spring boot java spring
SpringBoot项目解决跨域的四种方案分享

目录测试是否跨域一、SpringBoot 配置 CORS 解决跨域二、SpringBoot 通过 CorsFilter 解决跨域三、SpringBoot 通过注解解决跨域四、通过 n...

99+

2023-05-18

SpringBoot解决跨域方法 SpringBoot解决跨域 SpringBoot 跨域
Spring Boot详解五种实现跨域的方式

目录一、为什么会出现跨域问题二、什么是跨域三、非同源限制四、java后端实现CORS跨域请求的方式1. 返回新的CorsFilter(全局跨域)2. 重写WebMvcConfigur...

99+

2024-04-02
Django cors跨域问题怎么解决

这篇文章主要介绍“Django cors跨域问题怎么解决”，在日常操作中，相信很多人在Django cors跨域问题怎么解决问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”Django&nb...

99+

2023-07-02