快捷導(dǎo)航

SpringBoot處理 CORS 跨域的方法詳解

更新時間：2023年07月14日 09:00:19 作者：程序員面試

Springboot跨域問題，是當(dāng)前主流web開發(fā)人員都繞不開的難題，CORS是一個W3C標(biāo)準(zhǔn)，全稱是”跨域資源共享”，本文將給大家詳細(xì)介紹SpringBoot 如何處理 CORS 跨域，感興趣的同學(xué)跟著小編一起來看看吧

Springboot跨域問題，是當(dāng)前主流web開發(fā)人員都繞不開的難題。但我們首先要明確以下幾點

跨域只存在于瀏覽器端，不存在于安卓/ios/Node.js/python/ java等其它環(huán)境
跨域請求能發(fā)出去，服務(wù)端能收到請求并正常返回結(jié)果，只是結(jié)果被瀏覽器攔截了。
之所以會跨域，是因為受到了同源策略的限制，同源策略要求源相同才能正常進行通信，即協(xié)議、域名、端口號都完全一致。

瀏覽器出于安全的考慮，使用 XMLHttpRequest對象發(fā)起 HTTP請求時必須遵守同源策略，否則就是跨域的HTTP請求，默認(rèn)情況下是被禁止的。換句話說，瀏覽器安全的基石是同源策略。

同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進行交互。這是一個用于隔離潛在惡意文件的重要安全機制。

CORS是一個W3C標(biāo)準(zhǔn)，全稱是”跨域資源共享”（Cross-origin resource sharing），允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

它通過服務(wù)器增加一個特殊的Header[Access-Control-Allow-Origin]來告訴客戶端跨域的限制，如果瀏覽器支持CORS、并且判斷Origin通過的話，就會允許XMLHttpRequest發(fā)起跨域請求。

CORS Header

Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Max-Age：86400
Access-Control-Allow-Methods：GET, POST, OPTIONS, PUT, DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Credentials: true

方法一、直接采用SpringBoot的注解@CrossOrigin（也支持SpringMVC）

簡單粗暴的方式，Controller層在需要跨域的類或者方法上加上該注解即可

@RestController
@CrossOrigin
@RequestMapping("/situation")
public class SituationController extends PublicUtilController {
    @Autowired
    private SituationService situationService;
    // log日志信息
    private static Logger LOGGER = Logger.getLogger(SituationController.class);
}

但每個Controller都得加，太麻煩了，怎么辦呢，加在Controller公共父類（PublicUtilController）中，所有Controller繼承即可。

@CrossOrigin
public class PublicUtilController {
    /**
     * 公共分頁參數(shù)整理接口
     *
     * @param currentPage
     * @param pageSize
     * @return
     */
    public PageInfoUtil proccedPageInfo(String currentPage, String pageSize) {
        /* 分頁 */
        PageInfoUtil pageInfoUtil = new PageInfoUtil();
        try {
            /*
             * 將字符串轉(zhuǎn)換成整數(shù),有風(fēng)險, 字符串為a,轉(zhuǎn)換不成整數(shù)
             */
            pageInfoUtil.setCurrentPage(Integer.valueOf(currentPage));
            pageInfoUtil.setPageSize(Integer.valueOf(pageSize));
        } catch (NumberFormatException e) {
        }
        return pageInfoUtil;
    }
}

當(dāng)然，這里雖然指SpringBoot，SpringMVC也是同樣的，但要求在Spring4.2及以上的版本。另外，如果SpringMVC框架版本不方便修改，也可以通過修改tomcat的web.xml配置文件來處理

SpringMVC使用@CrossOrigin使用場景要求

jdk1.8+
Spring4.2+

方法二、處理跨域請求的Configuration

增加一個配置類，CrossOriginConfig.java。繼承WebMvcConfigurerAdapter或者實現(xiàn)WebMvcConfigurer接口，其他都不用管，項目啟動時，會自動讀取配置。

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
    static final String ORIGINS[] = new String[] { "GET", "POST", "PUT", "DELETE" };
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods(ORIGINS).maxAge(3600);
    }
}

方法三、采用過濾器（filter）的方式

同方法二加配置類，增加一個CORSFilter 類，并實現(xiàn)Filter接口即可，其他都不用管，接口調(diào)用時，會過濾跨域的攔截。

 @Component
public class CORSFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
    }
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
}

補充：

方法四、采用Nignx做反向代理

Nginx作為反向代理服務(wù)器會將請求轉(zhuǎn)發(fā)給目標(biāo)服務(wù)器，并在響應(yīng)中添加跨域頭信息，以達(dá)到跨域訪問目標(biāo)服務(wù)器的目的。通常需要在Nginx配置文件中添加以下內(nèi)容來實現(xiàn)跨域支持：

location / {
  add_header 'Access-Control-Allow-Origin' '*';
  add_header 'Access-Control-Allow-Credentials' 'true';
  add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
  add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';
  if ($request_method = 'OPTIONS') {
    return 204;
  }
}

其中，Access-Control-Allow-Origin指定允許跨域訪問的源，Access-Control-Allow-Credentials指定是否允許跨域請求攜帶cookie，Access-Control-Allow-Methods指定允許跨域訪問的請求方法，Access-Control-Allow-Headers指定允許的請求頭。if ($request_method = 'OPTIONS')則用于處理預(yù)檢請求，如果請求方法為OPTIONS，則直接返回204狀態(tài)碼。

以上就是SpringBoot處理 CORS 跨域的方法詳解的詳細(xì)內(nèi)容，更多關(guān)于SpringBoot處理 CORS 跨域的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: