Spring Boot:如何解决跨源问题
2024-09-18 15:43:32
您可能会遇到以下错误消息:
被 cors 战略阻止:所需资源中没有“access-control-allow-origin”标头
这个错误意味着对某个地址的请求已经被要求了 cors 由于缺乏资源,协议阻止了协议 access-control-allow-origin 标头。
分析跨源问题跨域问题的根本原因是浏览器限制访问当前站点以外的资源,以确保安全。
例如,考虑托管 http://127.0.0.1:8080/ 具有特定页面的网站。如果您从同一网站访问资源,则没有限制。但如果您试图从其他网站访问资源(如http)://127.0.0.1:8081)浏览器将阻止此请求。
注:我们将协议、域和端口视为定义“同源”的一部分。
具有 src 例如,属性元素 img 和 script 不受此限制的标签。
在历史上,当前端和后端没有分离时,页面和请求界面存在于同一域和端口下。然后,浏览器将允许来自域托管页面的请求从同一域请求资源。
例如http://127.0.0.1:8080/index.httml可以自由要求http://127.0.0.1:8080/a/b/c/userlit。
现在,不允许将前端和后端分离到不同的应用程序中,这将导致 cors 问题。
起源和跨起源是什么?来源(或源)由协议、域和端口号组成。
url 由协议、域、端口和路径组成。 url 如果协议、域和端口相同,则被视为“同源”。这三个元素中的任何一个都构成跨源请求。
考虑 https://www.baidu.com/index.html 跨域比较:
url
cross-origin
reason
https://www.baidu.com/more/index.html
no
same protocol, domain, and port
https://map.baidu.com/
yes
different domain
http://www.baidu.com/index.html
yes
different protocol
https://www.baidu.com:81/index.html
yes
different port
同源策略是浏览器安全的基本功能。没有它,浏览器的正常功能可能会受到威胁。 web 该架构在很大程度上取决于该策略,浏览器可以实现它,以确保安全。
同源政策包括:
- dom 同源策略:防止不同源页面的防止 dom 操作。主要适用于跨域iframe场景,不同域的iframe不能相互访问。
- xmlhttprequest 同源策略:禁止使用 xhr 对象发送到不同的来源 http 请求。
在前后分离部署的项目中,解决cors非常重要。 cookie用于存储用户登录信息,spring拦截器管理权限。当拦截器和 cors 以错误的顺序处理时,会出现问题,导致问题 cors 错误。
http 请求在到达 servlet 先通过过滤器,然后到达拦截器。确保 cors 我们可以在授权拦截前处理 cors 过滤器中的配置。
@configuration public class corsconfig { @bean public corsfilter corsfilter() { corsconfiguration corsconfiguration = new corsconfiguration(); corsconfiguration.addallowedorigin("*"); corsconfiguration.addallowedheader("*"); corsconfiguration.addallowedmethod("*"); corsconfiguration.setallowcredentials(true); urlbasedcorsconfigurationsource urlbasedcorsconfigurationsource = new urlbasedcorsconfigurationsource(); urlbasedcorsconfigurationsource.registercorsconfiguration("/**", corsconfiguration); return new corsfilter(urlbasedcorsconfigurationsource); } }
2.在webmvconfigurer中配置cors
虽然 jsonp 可以解决前端的跨源问题,但只支持 get 请求,这在 restful 应用程序受到限制。相反,您可以使用后端跨源资源共享 (cors) 处理跨源请求。这个方案不是spring boot是独一无二的,也用于传统的ssm框架。你可以通过实现 webmvcconfigurer 接口并重写 addcorsmappings 配置它的方法。
@configuration public class corsconfig implements webmvcconfigurer { @override public void addcorsmappings(corsregistry registry) { registry.addmapping("/**") .allowedorigins("*") .allowcredentials(true) .allowedmethods("get", "post", "put", "delete", "options") .maxage(3600); } }
3. cors配置在控制器中
您可以通过在@requestmaping注释中添加@crosorigin注释来使用cors。默认情况下,@crossorigin 允许@requestmapping 所有指定的来源和http 方法。
@restcontroller @requestmapping("/account") public class accountcontroller { @crossorigin @getmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @deletemapping("/{id}") public void remove(@pathvariable long id) { // ... } }
理解@crosorigin参数:
- @没有参数的crosorigin允许所有url访问。
- @crossorigin(origins = "http://127.0.0.1:8080") 限制对指定 url 的访问。
- 该注释可用于类别或方法。
- value 或 origins 允许的属性指定 url。
- maxage 表示预检请求缓存的最大年龄(以秒为单位)。
- allowedcredentials 指示是否允许凭证 (cookie)。默认为 false。
- allowedheaders 指定允许的请求标头。
- methods 默认指定许可的请求方法 get、post、head。
- spring mvc 版本必须为 4.2 或者更高的版本可以支持 @crossorigin。
- 由于服务器响应不正确,错误的请求可能会出现跨源问题。
- 如果在 controller 在注释的顶部添加 @crossorigin 一个可能的解决方案仍然会导致问题 @requestmapping 中指定 http 方法。
示例:
@CrossOrigin @RestController public class PersonController { @RequestMapping(method = RequestMethod.GET) public String add() { // some code } }
以上就是Spring Boot:如何解决跨源问题的详细内容,请多关注图灵教育的其他相关文章!