CORS 即CrossOrigin Resources Sharing-跨域资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。

注意 CORS也具有一定的风险性,比如请求中只能说明来自于一个特定的域但不能验证是否可信,而且也容易被第三方入侵。

实现CORS的几种方式

  • 通过自定义Filter
public class CorsFilter implements Filter {

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");

        httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");

        httpServletResponse.setHeader("Access-Control-Max-Age", "3600");

        httpServletResponse.setHeader("Access-Control-Allow-Headers",

                "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");

        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");// 允许cookie

        chain.doFilter(request, response);

    }

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override

    public void destroy() {

    }

}


<!-- CORS过滤器,需要确保CorsFilter的顺序先于其他的filters start -->

<filter>

    <filter-name>corsFilter</filter-name>

    <filter-class>com.springmvc.filter.CorsFilter</filter-class>

</filter>

<filter-mapping>

    <filter-name>corsFilter</filter-name>

    <url-pattern>*.do</url-pattern>

</filter-mapping>

<!-- CORS过滤器 end -->
  • Spring3, Maven工程直接引用第三方依赖
<dependency>

    <groupId>com.thetransactioncompany</groupId>

    <artifactId>cors-filter</artifactId>

    <version>[ version ]</version>

</dependency>


<filter>

    <filter-name>CORS</filter-name>

    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>

    <init-param>

        <param-name>cors.allowOrigin</param-name>

        <param-value>*</param-value>

    </init-param>

    <init-param>

        <param-name>cors.supportedMethods</param-name>

        <param-value>GET, POST, HEAD, PUT, DELETE</param-value>

    </init-param>

    <init-param>

        <param-name>cors.supportedHeaders</param-name>

        <param-value>Accept, Origin, X-Requested-With, Content-Type, Last-Modified</param-value>

    </init-param>

    <init-param>

        <param-name>cors.exposedHeaders</param-name>

        <param-value>Set-Cookie</param-value>

    </init-param>

    <init-param>

        <param-name>cors.supportsCredentials</param-name>

        <param-value>true</param-value>

    </init-param>

</filter>

<filter-mapping>

    <filter-name>CORS</filter-name>

    <url-pattern>/*</url-pattern>

</filter-mapping>
  • Spring 4.2以上

由于Spring 4.2版本开始,不需要引用第三方依赖:

在Spring MVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。

1.全局配置

配置在spring.xml文件中:

<!-- 允许所有的origins -->

<mvc:cors>

    <mvc:mapping path="/**" />

</mvc:cors>

<!-- 控制具体的访问路径和允许的域名 -->

<mvc:cors>

    <mvc:mapping path="/api/**"

        allowed-origins="http://domain1.com, http://domain2.com"

        allowed-methods="GET, PUT"

        allowed-headers="header1, header2, header3"

        exposed-headers="header1, header2" allow-credentials="false"

        max-age="123" />

    <mvc:mapping path="/resources/**"

        allowed-origins="http://domain1.com" />

</mvc:cors>

2.注解

可以作用在controller级别和method级别:

@CrossOrigin(origins = {"http://localhost:8585"}, maxAge = 4800, allowCredentials = "false")

@RestController

@RequestMapping("info")

public class PersonController {

	@Autowired

	private PersonService service;

	@CrossOrigin(origins = {"http://localhost:8787"}, maxAge = 6000)

	@RequestMapping("home")

	public List<Person> showData() {

		List<Person> list = service.getAllPerson();

		return list;

 	}

	@RequestMapping("nexthome")

	public List<Person> showDataNext() {

		List<Person> list = service.getAllPerson();

		return list;

 	}

}
  • SpringBoot
@Configuration

@EnableWebMvc

public class AppConfig extends WebMvcConfigurerAdapter {

	@Override

	public void addCorsMappings(CorsRegistry registry) {

	  registry.addMapping("/info/**")

	   	  .allowedOrigins("http://localhost:8585", "http://localhost:8787")

		  .allowedMethods("POST", "GET",  "PUT", "OPTIONS", "DELETE")

		  .allowedHeaders("X-Auth-Token", "Content-Type")

		  .exposedHeaders("custom-header1", "custom-header2")

		  .allowCredentials(false)

		  .maxAge(4800);

	}

}

感谢阅读这份文档,希望有帮忙到您。

利用CORS解决前后端分离的跨域资源问题的更多相关文章

  1. 解决Django+Vue前后端分离的跨域问题及关闭csrf验证

      前后端分离难免要接触到跨域问题,跨域的相关知识请参:跨域问题,解决之道   在Django和Vue前后端分离的时候也会遇到跨域的问题,因为刚刚接触Django还不太了解,今天花了好长的时间,查阅了 ...

  2. React:快速上手(8)——前后端分离的跨域访问与会话保持

    React:快速上手(8)——前后端分离的跨域访问与会话保持 跨域访问 跨域是指从一个域名的网页去请求另一个域名的资源.比如从http://www.baidu.com/ 页面去请求http://www ...

  3. 利用gulp解决前后端分离的header/footer引入问题

    在我们进行前后端完全分离的时候,有一个问题一直是挺头疼的,那就是公共header和footer的引入.在传统利用后端渲染的情况下,我们可以把header.footer写成两个单独的模板,然后用后端语言 ...

  4. SpringBoot 实现前后端分离的跨域访问(CORS)

    序言:跨域资源共享向来都是热门的需求,使用CORS可以帮助我们快速实现跨域访问,只需在服务端进行授权即可,无需在前端添加额外设置,比传统的JSONP跨域更安全和便捷. 一.基本介绍 简单来说,CORS ...

  5. 解决前后端调用,跨域二次请求Access-Control-Max-Age

    发现前后端分离的项目中,前端发起一个请求到后端,在Chrome浏览器下面debug的时候,Network下面看到同一个url有两条请求,url有两条请求,第一条请求的Method为OPTIONS,第二 ...

  6. 前后端分离之 跨域和JWT

    书接上回:https://www.cnblogs.com/yangyuanhu/p/12081525.html 前后端分离案例 现在把自己当成是前端,要开发一个前后分离的简单页面,用于展示学生信息列表 ...

  7. spring boot + spring security +前后端分离【跨域】配置 + ajax的json传输数据

    1.前言 网上各个社区的博客参差不齐 ,给初学者很大的困扰 , 我琢磨了一天一夜,到各个社区找资料,然后不断测试,遇到各种坑,一言难尽啊,要么源码只有一部分,要么直接报错... 最后实在不行,直接去看 ...

  8. php前后端分离项目跨域问题解决办法

    由于之前一直没有做过前后端分离项目,导致走了不少弯路,而且还采用了一种及其不优雅的方法 (在第一次请求的时候把服务器返回的session id保存起来,后续请求的时候把该session id作为参数传 ...

  9. 【js】【跨域问题】前后端分离的跨域问题

    最近在研究nodejs,php的前后端分离相关东西,在调用接口的时候碰到一些跨域的问题,经过一段时间的摸索,总结出来的一些东西 php采用的是yii框架,登录的机制或者调用接口都需要前端传递cooki ...

随机推荐

  1. Problem 10

    Problem 10 # Problem_10.py """ The sum of the primes below 10 is 2 + 3 + 5 + 7 = 17. ...

  2. Python之Mail编程

    # Mail编程- 管理程序 - Euroda使邮件普及 - Netscape,outlook,forxmail后来居上 - Hotmail使用浏览器发送邮件 ## 邮件工作流程- MUA邮件用户代理 ...

  3. mac 隐藏文件显示

    显示:defaults write com.apple.finder AppleShowAllFiles -bool true隐藏:defaults write com.apple.finder Ap ...

  4. 60款开源云应用【Part 3】(60 Open Source Apps You Can Use in the Cloud)

    60款开源云应用[Part 3](60 Open Source Apps You Can Use in the Cloud) 本篇翻译自http://www.datamation.com/open-s ...

  5. [HTML 5] aria-live

    "aria-live" is a method to tell the information to the screen reader once value changed. a ...

  6. uva是崩了 吗,还是我太年轻?

    刚刚提交了一道题,发现提交状态一直是in judge queue,去提交状态那里看了下,排在我20分钟前的也在in judge queue,不知道前面还有多少.顿时感到好无力......

  7. Error: CompareBaseObjectsInternal can only be called from the main thread

    Posted: 01:39 PM 06-17-2013 hi, we're working on a project where we need to do some calculations on ...

  8. 转:Oracle GoldenGate学习之Goldengate介绍

    转自:http://blog.sina.com.cn/s/blog_a32eff28010136d9.html 日志或归档日志获得数据的增删改变化,再将这些变化应用到目标数据库,实现源数据库与目标数据 ...

  9. 项目部署在windows下的tomcat里

    打包放在webapps 目录下,web的改成ROOT ok!!!

  10. 英语发音规则---T字母

    英语发音规则---T字母 一.总结 一句话总结: 1.T一般发[t]? ten [ten] num.十 letter [ˈletə(r)] n.信; 证书 meet [mi:t] vt.& v ...