前言java
Springboot跨域問題,是當前主流web開發人員都繞不開的難題。但咱們首先要明確如下幾點python
- 跨域只存在於瀏覽器端,不存在於安卓/ios/Node.js/python/ java等其它環境
- 跨域請求能發出去,服務端能收到請求並正常返回結果,只是結果被瀏覽器攔截了。
- 之因此會跨域,是由於受到了同源策略的限制,同源策略要求源相同才能正常進行通訊,即協議、域名、端口號都徹底一致。
瀏覽器出於安全的考慮,使用 XMLHttpRequest對象發起 HTTP請求時必須遵照同源策略,不然就是跨域的HTTP請求,默認狀況下是被禁止的。換句話說,瀏覽器安全的基石是同源策略。ios
同源策略限制了從同一個源加載的文檔或腳本如何與來自另外一個源的資源進行交互。這是一個用於隔離潛在惡意文件的重要安全機制。nginx
目錄web
1、什麼是CORS?spring
方法1、直接採用SpringBoot的註解@CrossOrigin(也支持SpringMVC)tomcat
先給出一個熟悉的報錯信息,讓你找到家的感受~
Access to XMLHttpRequest at 'http://192.168.1.1:8080/app/easypoi/importExcelFile' from origin 'http://localhost:8080' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
1、什麼是CORS?
CORS是一個W3C標準,全稱是」跨域資源共享」(Cross-origin resource sharing),容許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。
它經過服務器增長一個特殊的Header[Access-Control-Allow-Origin]來告訴客戶端跨域的限制,若是瀏覽器支持CORS、而且判斷Origin經過的話,就會容許XMLHttpRequest發起跨域請求。
CORS Header
- Access-Control-Allow-Origin: http://www.xxx.com
- Access-Control-Max-Age:86400
- Access-Control-Allow-Methods:GET, POST, OPTIONS, PUT, DELETE
- Access-Control-Allow-Headers: content-type
- Access-Control-Allow-Credentials: true
含義解釋:
CORS Header屬性 | 解釋 |
Access-Control-Allow-Origin | 容許http://www.xxx.com域(自行設置,這裏只作示例)發起跨域請求 |
Access-Control-Max-Age | 設置在86400秒不須要再發送預校驗請求 |
Access-Control-Allow-Methods | 設置容許跨域請求的方法 |
Access-Control-Allow-Headers | 容許跨域請求包含content-type |
Access-Control-Allow-Credentials | 設置容許Cookie |
2、SpringBoot跨域請求處理方式
方法1、直接採用SpringBoot的註解@CrossOrigin(也支持SpringMVC)
簡單粗暴的方式,Controller層在須要跨域的類或者方法上加上該註解便可
/** * Created with IDEA * * @Author Chensj * @Date 2020/5/8 10:28 * @Description xxxx控制層 * @Version 1.0 */ @RestController @CrossOrigin @RequestMapping("/situation") public class SituationController extends PublicUtilController { @Autowired private SituationService situationService; // log日誌信息 private static Logger LOGGER = Logger.getLogger(SituationController.class); }
但每一個Controller都得加,太麻煩了,怎麼辦呢,加在Controller公共父類(PublicUtilController)中,全部Controller繼承便可。
/** * Created with IDEA * * @Author Chensj * @Date 2020/5/6 10:01 * @Description * @Version 1.0 */ @CrossOrigin public class PublicUtilController { /** * 公共分頁參數整理接口 * * @param currentPage * @param pageSize * @return */ public PageInfoUtil proccedPageInfo(String currentPage, String pageSize) { /* 分頁 */ PageInfoUtil pageInfoUtil = new PageInfoUtil(); try { /* * 將字符串轉換成整數,有風險, 字符串爲a,轉換不成整數 */ pageInfoUtil.setCurrentPage(Integer.valueOf(currentPage)); pageInfoUtil.setPageSize(Integer.valueOf(pageSize)); } catch (NumberFormatException e) { } return pageInfoUtil; } }
固然,這裏雖然指SpringBoot,SpringMVC也是一樣的,但要求在Spring4.2及以上的版本。另外,若是SpringMVC框架版本不方便修改,也能夠經過修改tomcat的web.xml配置文件來處理,請參照另外一篇博文(nginx同理)
SpringMVC使用@CrossOrigin使用場景要求
- jdk1.8+
- Spring4.2+
方法2、處理跨域請求的Configuration
增長一個配置類,CrossOriginConfig.java。繼承WebMvcConfigurerAdapter或者實現WebMvcConfigurer接口,其餘都不用管,項目啓動時,會自動讀取配置。
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; /** * AJAX請求跨域 * @author Mr.W * @time 2018-08-13 */ @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { static final String ORIGINS[] = new String[] { "GET", "POST", "PUT", "DELETE" }; @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods(ORIGINS).maxAge(3600); }
方法3、採用過濾器(filter)的方式
同方法二加配置類,增長一個CORSFilter 類,並實現Filter接口便可,其餘都不用管,接口調用時,會過濾跨域的攔截。
@Component public class CORSFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse res = (HttpServletResponse) response; res.addHeader("Access-Control-Allow-Credentials", "true"); res.addHeader("Access-Control-Allow-Origin", "*"); res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT"); res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN"); if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) { response.getWriter().println("ok"); return; } chain.doFilter(request, response); } @Override public void destroy() { } @Override public void init(FilterConfig filterConfig) throws ServletException { } }
總結
好了,關於Springboot比較經常使用的解決跨域問題方式都已經分享給您了,但願對老鐵有所幫助。
本文同步分享在 博客「_陳哈哈」(CSDN)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。