Spring跨域配置
Spring跨域配置
介绍
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不一样于该请求所指向资源所在的域的 HTTP 请求。好比说,域名A(http://domaina.example)的某 Web 应用程序中经过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会致使浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各种资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种广泛且流行的方式。 java
出于安全考虑,浏览器会限制脚本中发起的跨站请求。好比,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵照同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能愈来愈强大、愈来愈丰富。好比,可使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不许确,跨域并不是浏览器限制了发起跨站请求,而是跨站请求能够正常发起,可是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器不管是否跨域!注意:有些浏览器不容许从HTTPS的域跨域访问HTTP,好比Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)web
普通参数跨域
在response的头文件添加spring
httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");
| 参数 | 值 | 描述 |
|---|---|---|
| Access-Control-Allow-Origin | * | 受权的源控制 |
| Access-Control-Allow-Credentials | true / false | 是否容许用户发送和处理cookie |
| Access-Control-Allow-Methods | [,]* | 容许请求的HTTP Method,多个用逗号分隔 |
| Access-Control-Allow-Headers | [,]* | 控制哪些header能发送真正的请求,多个用逗号分隔 |
| Access-Control-Max-Age | 秒 | 受权的时间,单位为秒。有效期内,不会重复发送预检请求 |
带headr请求跨域
这样客户端须要发起OPTIONS请求, 能够说是一个【预请求】,用于探测后续真正须要发起的跨域 POST 请求对于服务器来讲是不是安全可接受的,由于跨域提交数据对于服务器来讲可能存在很大的安全问题。
由于Springmvc模式是关闭OPTIONS请求的,因此须要开启后端
<servlet>
<servlet-name>application</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>dispatchOptionsRequest</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
开启CORS
SpringMVC从4.2版本开始增长了对CORS的支持。在springMVC 中增长CORS支持很是简单,能够配置全局的规则,也可使用@CrossOrigin注解进行细粒度的配置。api
使用@CrossOrigin注解
先经过源码看看该注解支持的属性跨域
在Controller上使用@CrossOrigin注解
// 指定当前的AccountController中全部的方法能够处理全部域上的请求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
在方法上使用@CrossOrigin注解
@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
CORS全局配置
除了细粒度基于注解的配置,能够定义全局CORS的配置。这相似于使用过滤器,但能够在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认状况下全部的域名和GET、HEAD和POST方法都是容许的。浏览器
基于XML的配置
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2"
allow-credentials="false"
max-age="72000" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain3.com" />
</mvc:cors>
基于代码的配置
这个方法一样适用于SpringBoot。安全
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain1.com")
.allowedOrigins("http://domain2.com")
.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false)
.maxAge(72000L);
registry.addMapping("/resources/**")
.allowedOrigins("http://domain3.com");
}
}
基于过滤器的配置
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("http://domain1.com");
config.addAllowedOrigin("http://domain2.com");
config.addAllowedHeader("*");
config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
config.setAllowCredentials(true);
config.setMaxAge(72000L);
// CORS 配置对全部接口都有效
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
特别注意
这个是网上大多数文章所没有提到的一个地方,请特别注意。服务器
HTTP权威指南对Options方法的解释:cookie
OPTIONS方法请求web服务器告知其支持的各类功能。能够询问服务器一般支持哪些方法,或者对某些特殊资源支持哪些方法。(有些服务器可能只支持对一些特殊类型的对象使用特定的操做)
当发生跨域请求时,浏览器会发起两次请求,第一次为预检请求,其请求方法为OPTIONS,第二次为真实请求。只有当第一次请求成功后才会发起第二次请求。这个时间间隔是上面例子中配置的maxAge(long)。
因此在拦截器或者过滤器对token进行验证的时候处理,OPTIONS的请求是不会带有认证信息,因此须要跳过OPTIONS请求。
String method = request.getMethod();
if(method.equals("OPTIONS")){
// 放行
} else {
// 验证token
}
- 1. spring boot security 跨域配置
- 2. 跨域配置
- 3. Spring boot 配置接口跨域
- 4. Spring Boot配置跨域访问策略
- 5. spring boot容许跨域(CORS)的配置
- 6. spring-boot 全局跨域配置
- 7. Spring Boot配置支持跨域访问
- 8. spring cloud gateway跨域全局CORS配置
- 9. ASP.NET 跨域配置
- 10. nginx跨域配置
- 更多相关文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Spring Bean的配置及常用属性 - Spring教程
- • PHP Ajax 跨域问题最佳解决方案
- • IntelliJ IDEA 代码格式化配置和快捷键
-
每一个你不满意的现在,都有一个你没有努力的曾经。