Spring跨域配置
Spring跨域配置
介紹
跨站 HTTP 請求(Cross-site HTTP request)是指發起請求的資源所在域不一樣於該請求所指向資源所在的域的 HTTP 請求。好比說,域名A(http://domaina.example)的某 Web 應用程序中經過標籤引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會致使瀏覽器發起一個跨站 HTTP 請求。在當今的 Web 開發中,使用跨站 HTTP 請求加載各種資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成爲了一種廣泛且流行的方式。 java
出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。好比,使用 XMLHttpRequest 對象發起 HTTP 請求就必須遵照同源策略(same-origin policy)。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。爲了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望着在不丟失安全的前提下,Web 應用技術能愈來愈強大、愈來愈豐富。好比,可使用 XMLHttpRequest 發起跨站 HTTP 請求。(這段描述跨域不許確,跨域並不是瀏覽器限制了發起跨站請求,而是跨站請求能夠正常發起,可是返回結果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請求是發送到了後端服務器不管是否跨域!注意:有些瀏覽器不容許從HTTPS的域跨域訪問HTTP,好比Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)web
普通參數跨域
在response的頭文件添加spring
httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");
| 參數 | 值 | 描述 |
|---|---|---|
| Access-Control-Allow-Origin | * | 受權的源控制 |
| Access-Control-Allow-Credentials | true / false | 是否容許用戶發送和處理cookie |
| Access-Control-Allow-Methods | [,]* | 容許請求的HTTP Method,多個用逗號分隔 |
| Access-Control-Allow-Headers | [,]* | 控制哪些header能發送真正的請求,多個用逗號分隔 |
| Access-Control-Max-Age | 秒 | 受權的時間,單位爲秒。有效期內,不會重複發送預檢請求 |
帶headr請求跨域
這樣客戶端須要發起OPTIONS請求, 能夠說是一個【預請求】,用於探測後續真正須要發起的跨域 POST 請求對於服務器來講是不是安全可接受的,由於跨域提交數據對於服務器來講可能存在很大的安全問題。
由於Springmvc模式是關閉OPTIONS請求的,因此須要開啓後端
<servlet>
<servlet-name>application</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>dispatchOptionsRequest</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
開啓CORS
SpringMVC從4.2版本開始增長了對CORS的支持。在springMVC 中增長CORS支持很是簡單,能夠配置全局的規則,也可使用@CrossOrigin註解進行細粒度的配置。api
使用@CrossOrigin註解
先經過源碼看看該註解支持的屬性跨域
在Controller上使用@CrossOrigin註解
// 指定當前的AccountController中全部的方法能夠處理全部域上的請求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
在方法上使用@CrossOrigin註解
@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
CORS全局配置
除了細粒度基於註解的配置,能夠定義全局CORS的配置。這相似於使用過濾器,但能夠在Spring MVC中聲明,並結合細粒度@CrossOrigin配置。默認狀況下全部的域名和GET、HEAD和POST方法都是容許的。瀏覽器
基於XML的配置
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2"
allow-credentials="false"
max-age="72000" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain3.com" />
</mvc:cors>
基於代碼的配置
這個方法一樣適用於SpringBoot。安全
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain1.com")
.allowedOrigins("http://domain2.com")
.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false)
.maxAge(72000L);
registry.addMapping("/resources/**")
.allowedOrigins("http://domain3.com");
}
}
基於過濾器的配置
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("http://domain1.com");
config.addAllowedOrigin("http://domain2.com");
config.addAllowedHeader("*");
config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
config.setAllowCredentials(true);
config.setMaxAge(72000L);
// CORS 配置對全部接口都有效
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
特別注意
這個是網上大多數文章所沒有提到的一個地方,請特別注意。服務器
HTTP權威指南對Options方法的解釋:cookie
OPTIONS方法請求web服務器告知其支持的各類功能。能夠詢問服務器一般支持哪些方法,或者對某些特殊資源支持哪些方法。(有些服務器可能只支持對一些特殊類型的對象使用特定的操做)
當發生跨域請求時,瀏覽器會發起兩次請求,第一次爲預檢請求,其請求方法爲OPTIONS,第二次爲真實請求。只有當第一次請求成功後纔會發起第二次請求。這個時間間隔是上面例子中配置的maxAge(long)。
因此在攔截器或者過濾器對token進行驗證的時候處理,OPTIONS的請求是不會帶有認證信息,因此須要跳過OPTIONS請求。
String method = request.getMethod();
if(method.equals("OPTIONS")){
// 放行
} else {
// 驗證token
}
- 1. spring boot security 跨域配置
- 2. 跨域配置
- 3. Spring boot 配置接口跨域
- 4. Spring Boot配置跨域訪問策略
- 5. spring boot容許跨域(CORS)的配置
- 6. spring-boot 全局跨域配置
- 7. Spring Boot配置支持跨域訪問
- 8. spring cloud gateway跨域全局CORS配置
- 9. ASP.NET 跨域配置
- 10. nginx跨域配置
- 更多相關文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Spring Bean的配置及常用屬性 - Spring教程
- • PHP Ajax 跨域問題最佳解決方案
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
-
每一个你不满意的现在,都有一个你没有努力的曾经。