SpringBoot中解决如何跨域方案

跨域访问的限制是由浏览器的同源策略(Same-Origin Policy)引起的。同源策略是浏览器实现的一种安全机制,它限制一个页面中的脚本只能访问同一域中的资源,而不能直接访问其他域的资源。同源策略有助于防止恶意脚本窃取用户数据

一、跨域解释

跨域(Cross-Origin)指的是在浏览器中,一个网页的脚本试图访问不属于同一个域(domain)的页面的资源。域是由协议(如 http)、主机名(如 www.example.com)和端口号(如 :8080)组成的。如果这三者之一不同,就被认为是跨域。

以下是同源策略的一些限制:

  1. 协议不同: 例如,从 http://example.com 无法直接访问 https://api.example.com

  2. 域名不同: 例如,从 http://example.com 无法直接访问 http://api.example.org

  3. 端口号不同: 例如,从 http://example.com:8080 无法直接访问 http://example.com:9090

为了允许跨域请求,服务端需要在响应中包含适当的跨域头。这些跨域头包括: 

  • Access-Control-Allow-Origin: 指定允许访问的域。可以是具体的域名,也可以是通配符 * 表示允许所有域的访问。

  • Access-Control-Allow-Methods: 指定允许的 HTTP 方法。例如,GET、POST、PUT 等。

  • Access-Control-Allow-Headers: 指定允许的 HTTP 头。用于支持自定义的请求头。

  • Access-Control-Allow-Credentials: 指定是否允许携带认证信息(如 Cookies)。如果设置为 true,则允许;否则,禁止携带认证信息。

  • Access-Control-Expose-Headers: 指定哪些响应头暴露给浏览器。默认情况下,只有基本的头信息会被暴露。

  • Access-Control-Max-Age: 用于指定 preflight 请求的有效期,即在该时间段内,浏览器无需再次发起 preflight 请求。

二、SpringBoot中实现跨域 

 在 Spring Boot 中实现跨域资源共享(CORS),你可以使用 @CrossOrigin 注解、全局配置或者使用过滤器的方式。

1. @CrossOrigin 注解

你可以在控制器类或方法上使用 @CrossOrigin 注解来配置跨域访问

@RestController
@RequestMapping("/api")
public class MyController {

    @CrossOrigin(origins = "http://allowed-origin.com")
    @GetMapping("/example")
    public ResponseEntity getExample() {
        // your code here
        return ResponseEntity.ok("Hello, CORS!");
    }
}

 上面的示例中,@CrossOrigin 注解将允许来自 http://allowed-origin.com 的跨域请求。

2. 全局配置

在 Spring Boot 中,你可以通过配置类来全局配置 CORS。创建一个类并继承 WebMvcConfigurerAdapter(在 Spring Boot 2.x 中可以使用 WebMvcConfigurer 接口):

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
                .allowedOrigins("http://allowed-origin.com")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

 上面的示例中,addMapping 方法指定了允许跨域的路径,allowedOrigins 指定了允许的来源,allowedMethods 指定了允许的 HTTP 方法,allowCredentials 允许携带认证信息,maxAge 指定了预检请求的有效期。

3. 使用过滤器

创建一个过滤器,并配置在 Spring Boot 中:

import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
@Order(1)
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletRequest httpRequest = (HttpServletRequest) request;

        httpResponse.setHeader("Access-Control-Allow-Origin", "http://allowed-origin.com");
        httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
        httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type");
        httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
        httpResponse.setHeader("Access-Control-Max-Age", "3600");

        chain.doFilter(request, response);
    }
}

 上述代码中,CorsFilter 类实现了 Filter 接口,它将在每个请求上添加 CORS 头部信息。

你可能感兴趣的:(springboot系列文章,spring,boot,后端,java)