Spring Boot 使用CORS处理跨域问题——《我的Java打怪日记》

为什么会出现跨域问题？

根本原因是同源策略问题，同源策略是由Netscape提出的一个著名的安全策略，它是浏览器最核心也最基本的安全功能，现在所有支持JavaScript的浏览器都会使用这个策略。

同源

同源是指，域名，协议，端口相同。

跨域

域名,协议,端口有一个不一样都是跨域,简单的解释一下,,你从你从端口号为8000去请求8001的数据就是跨域.
如果想解决跨域问题,需要浏览器同时支持。

什么是CORS

CORS是一个W3C标准，全称是”跨域资源共享”（Cross-origin resource sharing），允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。
它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制，如果浏览器支持CORS、并且判断Origin通过的话，就会允许XMLHttpRequest发起跨域请求。

Request Headers（请求头）

Origin
表示跨域请求的原始域。
Access-Control-Request-Method
表示跨域请求的方式。（如GET/POST）
Access-Control-Request-Headers
表示跨域请求的请求头信息。

Response headers（响应头 ）

Access-Control-Allow-Origin
表示允许哪些原始域进行跨域访问。（字符数组）
Access-Control-Allow-Credentials
表示是否允许客户端获取用户凭据。（布尔类型）
使用场景：例如现在从浏览器发起跨域请求，并且要附带Cookie信息给服务器。则必须具备两个条件：1. 浏览器端：发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。 2.服务器端：设置Access-Control-Allow-Credentials为true。两个条件缺一不可，否则即使服务器同意发送Cookie，浏览器也无法获取。
Access-Control-Allow-Methods
表示跨域请求的方式的允许范围。（例如只授权GET/POST）
Access-Control-Allow-Headers
表示跨域请求的头部的允许范围。
Access-Control-Expose-Headers
表示暴露哪些头部信息，并提供给客户端。（因为基于安全考虑，如果没有设置额外的暴露，跨域的通信对象XMLHttpRequest只能获取标准的头部信息）
Access-Control-Max-Age

Spring Boot 如何处理跨域问题方式一：直接使用@CrossOrigin注解

这是最简单，也是控制力度最小的一种方式，可以直接在Controller上添加注解，也可以在某一个方法上添加注解,这样你就可控制某个方法/某个Controller支持跨域，这样更安全。

@RestController
@RequestMapping(method = {RequestMethod.POST,RequestMethod.GET},value = "test")
@Slf4j
@CrossOrigin
public class TestController {
 @RequestMapping("/test")
 @ApiOperation("绑卡接口")
 public void test(){
}

方式二：使用Configuration

增加一个配置类，CORSConfiguration.java，实现WebMvcConfigurer接口，重写addCorsMappings(CorsRegistry registry)

@Configuration
public class CORSConfiguration implements WebMvcConfigurer {
 @Override
 public void addCorsMappings(CorsRegistry registry) {
 registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods( "GET", "POST", "PUT", "DELETE").maxAge(3600);
}

方法三：采用过滤器（filter）

增加一个CordFilter类，实现Filter接口，并在方式二的配置类中增加corsFilter方法

public class CorsFilter implements Filter {
 @Override
 public void init(FilterConfig filterConfig) throws ServletException {
 @Override
 public void destroy() {
 @Override
 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
 HttpServletRequest httpServletRequest = (HttpServletRequest) req;
 HttpServletResponse response = (HttpServletResponse) res;
 response.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));
 response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
 response.setHeader("Access-Control-Max-Age", "3600");
 response.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
 if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
 response.setStatus(HttpStatus.OK.value());
 return;
 chain.doFilter(req, res);
}

@Configuration
public class CORSConfiguration implements WebMvcConfigurer {
 @Override
 public void addCorsMappings(CorsRegistry registry) {
 registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods( "GET", "POST", "PUT", "DELETE").maxAge(3600);
}

本文转自网络，原文链接：https://developer.aliyun.com/article/785506
本站部分内容转载于网络，版权归原作者所有，转载之目的在于传播更多优秀技术内容，如有侵权请联系QQ/微信：153890879删除，谢谢！