当前位置: 首页 > 图灵资讯 > 技术篇> Spring Boot:如何解决跨源问题

Spring Boot:如何解决跨源问题

来源:图灵教育
时间:2024-09-18 15:43:32

spring boot:如何解决跨源问题

描述跨源问题

您可能会遇到以下错误消息:

被 cors 战略阻止:所需资源中没有“access-control-allow-origin”标头

这个错误意味着对某个地址的请求已经被要求了 cors 由于缺乏资源,协议阻止了协议 access-control-allow-origin 标头。

分析跨源问题

跨域问题的根本原因是浏览器限制访问当前站点以外的资源,以确保安全。

例如,考虑托管 http://127.0.0.1:8080/ 具有特定页面的网站。如果您从同一网站访问资源,则没有限制。但如果您试图从其他网站访问资源(如http)://127.0.0.1:8081)浏览器将阻止此请求。

注:我们将协议、域和端口视为定义“同源”的一部分。

具有 src 例如,属性元素 img 和 script 不受此限制的标签。

在历史上,当前端和后端没有分离时,页面和请求界面存在于同一域和端口下。然后,浏览器将允许来自域托管页面的请求从同一域请求资源。

例如http://127.0.0.1:8080/index.httml可以自由要求http://127.0.0.1:8080/a/b/c/userlit。

现在,不允许将前端和后端分离到不同的应用程序中,这将导致 cors 问题。

起源和跨起源是什么?

来源(或源)由协议、域和端口号组成。

url 由协议、域、端口和路径组成。 url 如果协议、域和端口相同,则被视为“同源”。这三个元素中的任何一个都构成跨源请求。

考虑 https://www.baidu.com/index.html 跨域比较:

url cross-origin reason https://www.baidu.com/more/index.html no same protocol, domain, and port https://map.baidu.com/ yes different domain http://www.baidu.com/index.html yes different protocol https://www.baidu.com:81/index.html yes different port

同源政策是什么?

同源策略是浏览器安全的基本功能。没有它,浏览器的正常功能可能会受到威胁。 web 该架构在很大程度上取决于该策略,浏览器可以实现它,以确保安全。

同源政策包括:

  1. dom 同源策略:防止不同源页面的防止 dom 操作。主要适用于跨域iframe场景,不同域的iframe不能相互访问。
  2. xmlhttprequest 同源策略:禁止使用 xhr 对象发送到不同的来源 http 请求。
解决spring问题 boot中的跨源问题 1. 创建处理过滤器的过滤器 cors

在前后分离部署的项目中,解决cors非常重要。 cookie用于存储用户登录信息,spring拦截器管理权限。当拦截器和 cors 以错误的顺序处理时,会出现问题,导致问题 cors 错误。

http 请求在到达 servlet 先通过过滤器,然后到达拦截器。确保 cors 我们可以在授权拦截前处理 cors 过滤器中的配置。

@configuration
public class corsconfig {

    @bean
    public corsfilter corsfilter() {
        corsconfiguration corsconfiguration = new corsconfiguration();
        corsconfiguration.addallowedorigin("*");
        corsconfiguration.addallowedheader("*");
        corsconfiguration.addallowedmethod("*");
        corsconfiguration.setallowcredentials(true);

        urlbasedcorsconfigurationsource urlbasedcorsconfigurationsource = new urlbasedcorsconfigurationsource();
        urlbasedcorsconfigurationsource.registercorsconfiguration("/**", corsconfiguration);
        return new corsfilter(urlbasedcorsconfigurationsource);
    }
}

2.在webmvconfigurer中配置cors

虽然 jsonp 可以解决前端的跨源问题,但只支持 get 请求,这在 restful 应用程序受到限制。相反,您可以使用后端跨源资源共享 (cors) 处理跨源请求。这个方案不是spring boot是独一无二的,也用于传统的ssm框架。你可以通过实现 webmvcconfigurer 接口并重写 addcorsmappings 配置它的方法。

@configuration
public class corsconfig implements webmvcconfigurer {

    @override
    public void addcorsmappings(corsregistry registry) {
        registry.addmapping("/**")
                .allowedorigins("*")
                .allowcredentials(true)
                .allowedmethods("get", "post", "put", "delete", "options")
                .maxage(3600);
    }
}

3. cors配置在控制器中

您可以通过在@requestmaping注释中添加@crosorigin注释来使用cors。默认情况下,@crossorigin 允许@requestmapping 所有指定的来源和http 方法。

@restcontroller
@requestmapping("/account")
public class accountcontroller {

    @crossorigin
    @getmapping("/{id}")
    public account retrieve(@pathvariable long id) {
        // ...
    }

    @deletemapping("/{id}")
    public void remove(@pathvariable long id) {
        // ...
    }
}

理解@crosorigin参数:

  • @没有参数的crosorigin允许所有url访问。
  • @crossorigin(origins = "http://127.0.0.1:8080") 限制对指定 url 的访问。
  • 该注释可用于类别或方法。
  • value 或 origins 允许的属性指定 url。
  • maxage 表示预检请求缓存的最大年龄(以秒为单位)。
  • allowedcredentials 指示是否允许凭证 (cookie)。默认为 false。
  • allowedheaders 指定允许的请求标头。
  • methods 默认指定许可的请求方法 get、post、head。
@crossorigin 可能不起作用的原因
  1. spring mvc 版本必须为 4.2 或者更高的版本可以支持 @crossorigin。
  2. 由于服务器响应不正确,错误的请求可能会出现跨源问题。
  3. 如果在 controller 在注释的顶部添加 @crossorigin 一个可能的解决方案仍然会导致问题 @requestmapping 中指定 http 方法。

示例:

@CrossOrigin
@RestController
public class PersonController {

    @RequestMapping(method = RequestMethod.GET)
    public String add() {
        // some code
    }
}

以上就是Spring Boot:如何解决跨源问题的详细内容,请多关注图灵教育的其他相关文章!