Java Spring boot 2.0 跨域問題的解決

更新時(shí)間：2018年04月28日 16:40:19 作者：低調(diào)的小白

本篇文章主要介紹了Java Spring boot 2.0 跨域問題的解決，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧

跨域

一個(gè)資源會(huì)發(fā)起一個(gè)跨域HTTP請(qǐng)求(Cross-site HTTP request), 當(dāng)它請(qǐng)求的一個(gè)資源是從一個(gè)與它本身提供的第一個(gè)資源的不同的域名時(shí) 。

比如說，域名A(http://domaina.example)的某 Web 應(yīng)用程序中通過標(biāo)簽引入了域名B(http://domainb.foo)站點(diǎn)的某圖片資源(http://domainb.foo/image.jpg)，域名A的那 Web 應(yīng)用就會(huì)導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 HTTP 請(qǐng)求。在當(dāng)今的 Web 開發(fā)中，使用跨站 HTTP 請(qǐng)求加載各類資源（包括CSS、圖片、JavaScript 腳本以及其它類資源），已經(jīng)成為了一種普遍且流行的方式。

正如大家所知，出于安全考慮，瀏覽器會(huì)限制腳本中發(fā)起的跨站請(qǐng)求。比如，使用 XMLHttpRequest對(duì)象發(fā)起 HTTP 請(qǐng)求就必須遵守同源策略。具體而言，Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對(duì)象向其加載的源域名發(fā)起 HTTP 請(qǐng)求，而不能向任何其它域名發(fā)起請(qǐng)求。為了能開發(fā)出更強(qiáng)大、更豐富、更安全的Web應(yīng)用程序，開發(fā)人員渴望著在不丟失安全的前提下，Web 應(yīng)用技術(shù)能越來越強(qiáng)大、越來越豐富。比如，可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請(qǐng)求。（這段描述跨域不準(zhǔn)確，跨域并非瀏覽器限制了發(fā)起跨站請(qǐng)求，而是跨站請(qǐng)求可以正常發(fā)起，但是返回結(jié)果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理，請(qǐng)求是發(fā)送到了后端服務(wù)器無論是否跨域！注意：有些瀏覽器不允許從HTTPS的域跨域訪問HTTP，比如Chrome和Firefox，這些瀏覽器在請(qǐng)求還未發(fā)出的時(shí)候就會(huì)攔截請(qǐng)求，這是一個(gè)特例。）

more：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

CROS

CORS 全稱為 Cross Origin Resource Sharing（跨域資源共享），服務(wù)端只需添加相關(guān)響應(yīng)頭信息，即可實(shí)現(xiàn)客戶端發(fā)出 AJAX 跨域請(qǐng)求。

@CrossOrigin

1.在Controller上直接使用 Controller上的所有請(qǐng)求都可以跨域，origins = "*" 代表所有都能請(qǐng)求

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @RequestMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
    // ...
  }

  @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
  public void remove(@PathVariable Long id) {
    // ...
  }
}

2. 在方法上使用

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @CrossOrigin("http://domain2.com")
  @RequestMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
    // ...
  }

  @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
  public void remove(@PathVariable Long id) {
    // ...
  }
}

另一中方法：

CorsFilter 主要目的便是添加相關(guān)的信息頭，使用Filter也可以實(shí)現(xiàn)。

@Configuration
public class BeanConfiguration {

  @Bean
  public CorsFilter corsFilter() {
    final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration corsConfiguration = new CorsConfiguration();
    corsConfiguration.setAllowCredentials(true);
    corsConfiguration.addAllowedOrigin("*");
    corsConfiguration.addAllowedHeader("*");
    corsConfiguration.addAllowedMethod("*");
    urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
    return new CorsFilter(urlBasedCorsConfigurationSource);
  }

}

Access-Control-Allow-Origin：允許訪問的客戶端域名，例如：http://web.xxx.com，若為 *，則表示從任意域都能訪問，即不做任何限制。

Access-Control-Allow-Methods：允許訪問的方法名，多個(gè)方法名用逗號(hào)分割，例如：GET,POST,PUT,DELETE,OPTIONS。
Access-Control-Allow-Credentials：是否允許請(qǐng)求帶有驗(yàn)證信息，若要獲取客戶端域下的 cookie 時(shí)，需要將其設(shè)置為 true。
Access-Control-Allow-Headers：允許服務(wù)端訪問的客戶端請(qǐng)求頭，多個(gè)請(qǐng)求頭用逗號(hào)分割，例如：Content-Type。
Access-Control-Expose-Headers：允許客戶端訪問的服務(wù)端響應(yīng)頭，多個(gè)響應(yīng)頭用逗號(hào)分割。

以上就是本文的全部內(nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: