跨域问题

域名A(http://www.a.com)的 Web 应用程序中,

通过标签引入了域名B(http://ww.b.com)站点的某图片资源(http://www.b.com/image.jpg),

域名A的 Web 应用就会导致浏览器发起一个跨域 HTTP 请求。

同源策略:

	不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。

	一个请求地址里面的协议、域名和端口号都相同,就属于同源。

不允许跨域访问的网站无法跨域访问(由于同源策略)。

CORS(Cross-Origin Resource Sharing)解决跨域请求问题

CORS基本思想:

	使用自定义的HTTP请求头使浏览器和服务器相互了解对方,从而决定请求或响应成功与否。

CORS分为简单请求和非简单请求(需预检请求)两类:

	简单请求

		请求方式使用下列方法之一:

			GET

			HEAD

			POST

 		HTTP的头信息不超出以下几种字段

			1. Accept

			2. Accept-Language

			3. Content-Language

			4. Last-Event-ID

			5. Content-Type 的值仅限于下列三者之一:

				text/plain

				multipart/form-data

				application/x-www-form-urlencoded

		对于简单请求,浏览器会直接发送CORS请求

			请求头字段header中加入:origin

			响应头字段header中加入:

				Access-Control-Allow-Origin:可跨域的源

				Access-Control-Allow-Credentials:是否允许用户发送、处理 cookie(可选)

	非简单请求(除了简单请求,其他都是非简单请求)

		使用了下面任一 HTTP 方法:

			PUT

			DELETE

			CONNECT

			OPTIONS

			TRACE

			PATCH

		Content-Type 的值不属于下列之一:

			application/x-www-form-urlencoded

			multipart/form-data

			text/plain

		浏览器会先发送预检请求(不会携带Cookie和传递的参数),发送一次Preflight Request,接收一个Preflight Response。

		预检请求判断是否允许跨域访问后,才决定是否发送真正的请求。

		非简单请求会在头部多返回以下字:

			请求头:origin

			响应头:

				Access-Control-Allow-Origin:可跨域的资源路径

				Access-Control-Allow-Methods:服务端支持的请求方法

				Access-Control-Allow-Headers:服务器允许使用的字段

				Access-Control-Allow-Credentials:是否允许用户发送、处理 cookie

				Access-Control-Max-Age:预检请求的有效期,单位为秒。有效期内,不会重复发送预检请求

Spring Boot CORS 实现

局部:

	Controller类上使用(对该类所有方法有效):@CrossOrigin

	Controller方法上使用:@CrossOrigin

全局:

	使用配置类实现

方法1. 添加一个配置类

@Configuration

public class CorsConfig extends WebMvcConfigurerAdapter {

    @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/**")	//允许跨域访问的路径

                .allowedOrigins("*")	//允许跨域访问的资源路径

                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")	//允许请求方法

                .allowedHeaders("Content-Type", "ADMIN-Authorization")	//

                .maxAge(3600)	//预检间隔时间

                .allowCredentials(true);	//是否允许发送cookie

    }

}

方法2. 添加一个过滤器

public class CorsFilter extends GenericFilterBean {

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest httpServletRequest = (HttpServletRequest) request;

        HttpServletResponse httpServletResponse = (HttpServletResponse) response;

        /** 设置自定义头 */

        httpServletResponse.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader(HttpHeaders.ORIGIN));

        httpServletResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, ADMIN-Authorization");

        httpServletResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");

        httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");

        httpServletResponse.setHeader("Access-Control-Max-Age", "3600");

        //非预检请求,给予通过(预检请求直接返回响应头)

        if (!CorsUtils.isPreFlightRequest(httpServletRequest)) {

            chain.doFilter(httpServletRequest, httpServletResponse);

        }

    }

}

@Configuration

public class HaloConfiguration {

    @Bean

    public FilterRegistrationBean<CorsFilter> corsFilter() {

        FilterRegistrationBean<CorsFilter> corsFilter = new FilterRegistrationBean<>();

        //设置优先级

        corsFilter.setOrder(Ordered.HIGHEST_PRECEDENCE);

        corsFilter.setFilter(new CorsFilter());

        corsFilter.addUrlPatterns("/api/*");

        return corsFilter;

    }

}

Halo(九)的更多相关文章

  1. 如何一步一步用DDD设计一个电商网站(九)—— 小心陷入值对象持久化的坑

    阅读目录 前言 场景1的思考 场景2的思考 避坑方式 实践 结语 一.前言 在上一篇中(如何一步一步用DDD设计一个电商网站(八)—— 会员价的集成),有一行注释的代码: public interfa ...

  2. 谈谈一些有趣的CSS题目(九)-- 巧妙的实现 CSS 斜线

    开本系列,谈谈一些有趣的 CSS 题目,题目类型天马行空,想到什么说什么,不仅为了拓宽一下解决问题的思路,更涉及一些容易忽视的 CSS 细节. 解题不考虑兼容性,题目天马行空,想到什么说什么,如果解题 ...

  3. CRL快速开发框架系列教程九(导入/导出数据)

    本系列目录 CRL快速开发框架系列教程一(Code First数据表不需再关心) CRL快速开发框架系列教程二(基于Lambda表达式查询) CRL快速开发框架系列教程三(更新数据) CRL快速开发框 ...

  4. Python(九)Tornado web 框架

    一.简介 Tornado 是 FriendFeed 使用的可扩展的非阻塞式 web 服务器及其相关工具的开源版本.这个 Web 框架看起来有些像web.py 或者 Google 的 webapp,不过 ...

  5. 我的MYSQL学习心得(九) 索引

    我的MYSQL学习心得(九) 索引 我的MYSQL学习心得(一) 简单语法 我的MYSQL学习心得(二) 数据类型宽度 我的MYSQL学习心得(三) 查看字段长度 我的MYSQL学习心得(四) 数据类 ...

  6. 【Oracle 集群】Linux下Oracle RAC集群搭建之基本测试与使用(九)

    Oracle 11G RAC数据库安装(九) 概述:写下本文档的初衷和动力,来源于上篇的<oracle基本操作手册>.oracle基本操作手册是作者研一假期对oracle基础知识学习的汇总 ...

  7. Jsp的九大对象,七大动作,三大指令

    jsp九大内置对象:1>out 向客户端输出数据,字节流.如out.print(" dgaweyr"); 2>request 接收客户端的http请求.String g ...

  8. 今天我们来认识一下JSP的九大内置对象

    虽然现在基本上我们都是使用SpringMVC+AJAX进行开发了Java Web了,但是还是很有必要了解一下JSP的九大内置对象的.像request.response.session这些对象,即便使用 ...

  9. 浅谈UML的概念和模型之UML九种图

    1.用例图(use case diagrams) [概念]描述用户需求,从用户的角度描述系统的功能 [描述方式]椭圆表示某个用例:人形符号表示角色 [目的]帮组开发团队以一种可视化的方式理解系统的功能 ...

随机推荐

  1. 如何把vue.js项目部署到服务器上

    如何把vue.js项目部署到服务器上面,我用的是tomcat服务器 1-改一下config/index.js文件,如下图,把assetsPublicPath: './', productionSour ...

  2. 台哥原创:java 俄罗斯方块源码

    大四的时候,用java开发,耗时一周 界面参照当时用的联想手机里的俄罗斯方块 ​ 这里的级别,标识难度,1是初级,方块下降速度很慢,5是最高级,下降速度最快 ​ 得分:每消除一行,会给10分,同时消除 ...

  3. WebGIS常用代码集锦

    一.普通代码 1.坐标转换 ol.proj.transform(coordinate, source, destination) ol.proj.transform(coordinate, 'EPSG ...

  4. Ubuntu 18.04 截图工具 Shutter(可以标记重点)-安装及使用

    Shutter 是一个功能丰富的屏幕截图程序.您可以屏幕的某个特定区域.特定的窗口. 或者是整个屏幕,甚至一整个网站截图.可以对截图应用各种效果,标记重点,然后上 传到一个图片托管网站——所有的任务在 ...

  5. 为什么每次打出的包都是Release版本呢?

    参考了:xcodebuild命令 https://www.cnblogs.com/liuluoxing/p/8622108.html 重新打个包,验证一下想法

  6. 16/8/23-jQuery完全图解scrollLeft,scrollWidth,clientWidth,offsetWidth 获取相对途径,滚动图片

    引用地址:http://www.cnblogs.com/mguo/archive/2013/03/19/2969657.html scrollLeft:设置或获取位于对象左边界和窗口中目前可见内容的最 ...

  7. MQ基础知识学习

    之前听人提起了MQ协议,我就去稍微了解了一下什么是MQ,和MQ的一些基础性的知识. 什么是MQ呢? 消息队列(MQ)是一种应用程序对应用程序的通信方法.应用程序通过写和检索出入列队的针对应用程序的数据 ...

  8. PHP中的九大缓存技术

    1.全页面静态化缓存也就是将页面全部生成html静态页面,用户访问时直接访问的静态页面,而不会去走php服务器解析的流程.此种方式,在CMS系统中比较常见,比如dedecms: 一种比较常用的实现方式 ...

  9. 0x3f3f3f3f 0xbfbfbfbf 等的原理及应用

    原理 0x的意思其实是十六进制,后面加的数其实就是一个十六进制数. 在十六进制中,我们知道a代表10,b代表11,c代表12,d代表13,e代表14,f代表15. 所以3f3f3f3f这个数用十进制数 ...

  10. [fw]Linux下tty/pty/pts/ptmx详解

    基本概念: 1> tty(终端设备的统称):tty一词源于Teletypes,或者teletypewriters,原来指的是电传打字机,是通过串行线用打印机键盘通过阅读和发送信息的东西,后来这东 ...