SpringBoot跨域处理

@CrossOrigin(局部跨域)

  1. 作用在方法上
@RestController

public class IndexController {

    @CrossOrigin(value = "http://localhost:8082")

    @GetMapping("/hello")

    public String hello() {

        return "get hello";

    }

    @CrossOrigin(value = "http://localhost:8082")

    @PostMapping("/hello")

    public String hello2() {

        return "post hello";

    }

}
  1. 作用在类上
@CrossOrigin(origins = "http://example.com", maxAge = 3600)

@RestController

@RequestMapping("/account")

public class AccountController {

    @RequestMapping(method = RequestMethod.GET, path = "/{id}")

    public Account retrieve(@PathVariable Long id) {

        // ...

    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

    public void remove(@PathVariable Long id) {

        // ...

    }

}

WebMvcConfigurer(全局跨域)

@Configuration

public class WebMvcConfig implements WebMvcConfigurer {

    @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/**")

                .allowedHeaders("Content-Type","X-Requested-With","accept,Origin","Access-Control-Request-Method","Access-Control-Request-Headers","token")

                .allowedMethods("*")

                .allowedOrigins("*")

                .allowCredentials(true);

    }

}

SpringSecurity跨域处理

跨域配置详解

如果使用了 Spring Security,上面的跨域配置会失效,因为请求被 Spring Security 拦截了

在项目中使用 Spring Security,我们必须采取额外的步骤确保它与 CORS 协作良好。这是因为 CORS 需要首先处理,否则,Spring Security 会在请求到达 Spring MVC 之前将其拒绝

@Configuration

public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.cors().and()...

    }

}

可以配置 CORS 以覆盖默认的 Spring Security CORS 处理器。为此,我们需要添加一个 CorsConfigurationSource Bean,使用 CorsConfiguration 实例来处理 CORS 配置。如果添加了 CorsFilter Bean,http.cors() 方法就会使用 CorsFilter,否则就会使用 CorsConfigurationSource。如果两者都未配置,则使用 Spring MVC pattern inspector handler。

public class CorsConfigurer<H extends HttpSecurityBuilder<H>>

		extends AbstractHttpConfigurer<CorsConfigurer<H>, H> {

    private static final String HANDLER_MAPPING_INTROSPECTOR = "org.springframework.web.servlet.handler.HandlerMappingIntrospector";

    private static final String CORS_CONFIGURATION_SOURCE_BEAN_NAME = "corsConfigurationSource";

    private static final String CORS_FILTER_BEAN_NAME = "corsFilter";

    private CorsConfigurationSource configurationSource;

    public CorsConfigurer() {

    }

    public CorsConfigurer<H> configurationSource(

            CorsConfigurationSource configurationSource) {

        this.configurationSource = configurationSource;

        return this;

    }

    @Override

    public void configure(H http) {

        ApplicationContext context = http.getSharedObject(ApplicationContext.class);

        CorsFilter corsFilter = getCorsFilter(context);

        if (corsFilter == null) {

            throw new IllegalStateException(

                    "Please configure either a " + CORS_FILTER_BEAN_NAME + " bean or a "

                            + CORS_CONFIGURATION_SOURCE_BEAN_NAME + "bean.");

        }

        http.addFilter(corsFilter);

    }

    private CorsFilter getCorsFilter(ApplicationContext context) {

        if (this.configurationSource != null) {

            return new CorsFilter(this.configurationSource);

        }

        // 查找是否有名为corsFilter的Bean对象

        boolean containsCorsFilter = context

                .containsBeanDefinition(CORS_FILTER_BEAN_NAME);

        if (containsCorsFilter) {

            return context.getBean(CORS_FILTER_BEAN_NAME, CorsFilter.class);

        }

        // 查找是否有名为corsConfigurationSource的Bean对象

        boolean containsCorsSource = context

                .containsBean(CORS_CONFIGURATION_SOURCE_BEAN_NAME);

        if (containsCorsSource) {

            CorsConfigurationSource configurationSource = context.getBean(

                    CORS_CONFIGURATION_SOURCE_BEAN_NAME, CorsConfigurationSource.class);

            return new CorsFilter(configurationSource);

        }

        // 查找是否有org.springframework.web.servlet.handler.HandlerMappingIntrospector该类

        boolean mvcPresent = ClassUtils.isPresent(HANDLER_MAPPING_INTROSPECTOR,

                context.getClassLoader());

        if (mvcPresent) {

            return MvcCorsFilter.getMvcCorsFilter(context);

        }

        return null;

    }

    static class MvcCorsFilter {

        private static final String HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME = "mvcHandlerMappingIntrospector";

        private static CorsFilter getMvcCorsFilter(ApplicationContext context) {

            if (!context.containsBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME)) {

                throw new NoSuchBeanDefinitionException(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, "A Bean named " + HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME +" of type " + HandlerMappingIntrospector.class.getName()

                        + " is required to use MvcRequestMatcher. Please ensure Spring Security & Spring MVC are configured in a shared ApplicationContext.");

            }

            // 获取名为mvcHandlerMappingIntrospector的Bean对象

            HandlerMappingIntrospector mappingIntrospector = context.getBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME, HandlerMappingIntrospector.class);

            return new CorsFilter(mappingIntrospector);

        }

    }

}

CorsConfigurationSource(全局跨域)

@Configuration

public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

            .anyRequest()

            .permitAll()

            .and()

            .formLogin()

            .permitAll()

            .and()

            .httpBasic()

            .and()

            // 支持跨域访问

            .cors()

            // 可以选择配置

            //.configurationSource(corsConfigurationSource())

            .and()

            .csrf()

            .disable();

    }

    @Bean

    public CorsConfigurationSource corsConfigurationSource() {

        CorsConfiguration configuration = new CorsConfiguration();

        configuration.setAllowedOrigins(Arrays.asList("*"));

        configuration.setAllowedMethods(Arrays.asList("*"));

        configuration.setAllowedHeaders(Arrays.asList("*"));

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        source.registerCorsConfiguration("/**", configuration);

        return source;

    }

}

CosFilter(全局跨域)

还有一种情况就是支持 OAuth2 相关接口的跨域,比如用户要访问 OAuth2 中的 /oauth/token 等接口,可以配置一个全局的 CorsFilter 跨域过滤器类

@Configuration

public class GlobalCorsConfig {

    @Bean

    public CorsFilter corsFilter() {

        //1.添加CORS配置信息

        CorsConfiguration config = new CorsConfiguration();

        //放行哪些原始域

        config.addAllowedOrigin("*");

        //是否发送Cookie信息

        config.setAllowCredentials(true);

        //放行哪些原始域(请求方式)

        config.addAllowedMethod("*");

        //放行哪些原始域(头部信息)

        config.addAllowedHeader("*");

        //暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)

        config.addExposedHeader("*");

        //2.添加映射路径

        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();

        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.

        return new CorsFilter(configSource);

    }

}

自定义Filter(全局跨域)

public class CorsFilter extends OncePerRequestFilter {

    @Override

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        String orignalHeader = StringUtils.defaultIfBlank(request.getHeader("Origin"), "*");

        // 指定本次预检请求的有效期

        response.setHeader("Access-Control-Max-Age", "3600");

        // 服务器支持的所有头信息字段

        response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers"));

        response.setHeader("Access-Control-Allow-Origin", orignalHeader);

        response.setHeader("Access-Control-Allow-Credentials", "true");

        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");

        filterChain.doFilter(request, response);

    }

}


@Configuration

public class WebMvcConfig extends WebSecurityConfigurerAdapter {

    @Override

    public void configure(HttpSecurity http) throws Exception {

        http.addFilterBefore(new CorsFilter(), WebAsyncManagerIntegrationFilter.class);

    }

}

SpringSecurity5(11-跨域配置)的更多相关文章

  1. asp.net core api 跨域配置

    项目前后端分离,前端请求接口例如使用axios发送请求时浏览器会提示跨域错误,需要后端配置允许接口跨域 配置步骤: 1.通过NuGet安装Microsoft.AspNetCore.Cors.dll类库 ...

  2. windows上 nginx 配置代理服务,配置多域名,以及最简单实现跨域配置

    Nginx,不用多说啦,大家都熟悉的不能再熟悉了,它是一款轻量级的高性能Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,最近在本地研究将nginx和resin配合使用,使服务 ...

  3. 014.Nginx跨域配置

    一 跨域概述 1.1 同源策略 同源策略是一个安全策略.同源,指的是协议,域名,端口相同.浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的 ...

  4. Asp.Net Core跨域配置

    在没有设置跨域配置的时候,Ajax请求时会报以下错误 已拦截跨源请求:同源策略禁止读取位于 http://localhost:5000/Home/gettime 的远程资源.(原因:CORS 头缺少 ...

  5. Springboot统一跨域配置

    前言:跨域是什么? 要知道跨域的概念,我们先明确怎样算是同一个域: 同一个域指的是同一协议,同一ip,同一端口 如果这三同中有一者不同就产生了跨域. 在做前后端分离的项目中,通过ajax请求后台端口时 ...

  6. Asp.net跨域配置

    <system.webServer> <httpProtocol> <customHeaders> <add name="Access-Contro ...

  7. asp.net (webapi) core 2.1 跨域配置

    原文:asp.net (webapi) core 2.1 跨域配置 官方文档 ➡️ https://docs.microsoft.com/zh-cn/aspnet/core/security/cors ...

  8. .net core api服务端跨域配置

    第1步:添加包引用(.net core 2.2 已自带此包,可跳过此步骤) Install-Package Microsoft.AspNetCore.Cors 第2步:在Startup.cs文件的Co ...

  9. nginx-springboot-vue前后端分离跨域配置

    nginx-springboot-vue前后端分离跨域配置 引言 接着上篇--简单的springboot-vue前后端分离登录Session拦截的demo,其中跨域是通过springboot后端全局设 ...

  10. 常见跨域解决方案以及Ocelot 跨域配置

    常见跨域解决方案以及Ocelot 跨域配置 Intro 我们在使用前后端分离的模式进行开发的时候,如果前端项目和api项目不是一个域名下往往会有跨域问题.今天来介绍一下我们在Ocelot网关配置的跨域 ...

随机推荐

  1. IM跨平台技术学习(四):蘑菇街基于Electron开发IM客户端的技术实践

    本文由蘑菇街前端技术团队分享,原题"Electron 从零到一",有修订和改动. 1.引言 本系列文章的前面几篇主要是从Electron技术本身进行了讨论(包括:第1篇初步了解El ...

  2. Detectron2使用

    Detectron2使用 Detectron2安装 git clone https://github.com/facebookresearch/detectron2.git cd detectron2 ...

  3. Github + Jekyll 搭建项目wiki

    网站托管 创建新仓库 创建以自己名字为前缀, .github.io​为后缀的仓库 ​​ 在仓库的Settings中的Pages里设置Build and deployment​为Github Actio ...

  4. 最新AI智能体开发案例:小红书养生博主必备!教你用Coze工作流搭建「养生赛道」智能体!

    嗨~我是老包.目前专注AI智能体开发与教学 ,持续分享Coze智能体.coze工作流搭建案例.** 老包用扣子为小红书养生赛道博主捏了一个神器 名字是: 「 小红书 | 爆款养生赛道图文生成器」 为什 ...

  5. w3cschool-spring详解

    参考地址 https://www.w3cschool.cn/wkspring/dcu91icn.html Spring 体系结构 2021-11-03 18:18 更新 体系结构 Spring 有可能 ...

  6. C#/.NET/.NET Core技术前沿周刊 | 第 22 期(2025年1.13-1.19)

    前言 C#/.NET/.NET Core技术前沿周刊,你的每周技术指南针!记录.追踪C#/.NET/.NET Core领域.生态的每周最新.最实用.最有价值的技术文章.社区动态.优质项目和学习资源等. ...

  7. web95 比较麻烦的interval绕过

    审计 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['n ...

  8. 链路状态路由协议OSPF-02

    路由信息传递与路由计算分离. 基于SPF算法. 以"累计链路开销"作为选路参考值. 所谓Link State(链路状态)指的就是路由器的接口状态.在OSPF中路由器的某一接口的链路 ...

  9. WitAwards 2024荣耀登榜!AOne载誉而归!

    近日,FCIS 2024网络安全创新大会在上海举办.本次大会以"迈向安全服务化时代"为主题,邀请来自全球的网安精英.技术专家.CISO/CSO.白帽子.创业者等展开深度对话,分享与 ...

  10. Jenkins+Ant+JaCoCo的代码覆盖率集成实践

    Jenkins+Ant+JaCoCo的代码覆盖率集成实践 一.工具介绍 Jenkins: Jenkins是一个开源的.基于Java开发的持续集成工具,它可以帮助开发人员自动化构建.测试和部署软件项目. ...