SpringBoot配置cors实现跨域

一、关键词

同源策略(same origin policy):是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源

源:协议+域名+端口号

同源:协议、域名、端口号均相同

URL 说明 允许通信
http://www.a.com/a.js
http://www.a.com/b.js
同源 允许
http://www.a.com:8080/a.js
http://www.a.com:80/a.js
同协议、域名,不同端口 不允许
http://www.a.com/a.js
https://www.a.com/a.js
同域名、端口,不同协议 不允许
http://12.12.12.12/a.js
http://www.a.com/a.js
同协议、端口,域名与域名对应ip 不允许
http:/www.b.com/a.js
http://www.a.com/a.js
同协议、端口,不同域 不允许
http://www.a.com/a.js
http://script.a.com/a.js
主域相同,子域不同 不允许

跨域:

 1. 非同源资源可以引入,但js不能读写加载的内容。如:嵌入到页面的

<script scr=”…”></script>,<img />,<link />,<iframe />

 2. 非同源的网站之间不能发送AJAX请求,需要跨域

CORS(Cross Origin Resource Sharing):基于W3C规范,允许灵活的指定被授权的跨域请求

简单请求:满足以下两个条件

 1. 请求方法:HEAD、GET、POST之一
 2. HTTP的头信息不超出以下几种字段:
 - Accept
 - Accept-Language
 - Content-Language
 - Last-Event-ID
 - Content-Type只限于[ application/x-www-form-urlencoded 、multipart/form-data、text/plain]

复杂请求:非简单请求,实际上浏览器将发送两个请求。先发送的是一种"预请求(OPTION)",此时作为服务端,也需要返回"预回应"作为响应。预请求实际上是对服务端的一种权限请求,只有当预请求成功返回,实际请求才开始执行。

CORS解决简单请求策略:在请求头中增加一个Origin字段,服务器收到请求后,根据该字段是否允许该请求访问。

 1. 允许,则在HTTP响应头中添加
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:http://localhost:9090
Access-Control-Expose-Headers:X-Token
请求成功
 2. 不允许,则不添加,响应失败,报跨域错误
请求失败

CORS解决复杂请求策略:

 1. 预检请求将真实请求的信息,包括请求方法、自定义头字段、源信息添加到 HTTP 头信息字段中,询问服务器是否允许这样的操作。服务器接收到预请求时,对Origin、Access-Control-Request-Method、Access-Control-Request-Headers 进行验证,验证通过后,会在返回HTTP头信息中添加:
Access-Control-Allow-Credentials:true
Access-Control-Allow-Methods:POST,GET,PUT,OPTIONS,DELETE
Access-Control-Allow-Origin:http://localhost:9090
Access-Control-Max-Age:30000
Access-Control-Expose-Headers:X-Token
OPTIONS请求
 2. 预请求返回成功,执行实际请求
实际请求

二、SpringBoot整合CORS Filter配置跨域(不推荐)

 1. 添加依赖

<dependency>
    <groupId>com.thetransactioncompany</groupId>
    <artifactId>cors-filter</artifactId>
    <version>2.5</version>
</dependency>

 2. 注册过滤器

@Component
public class MyCorsFilter extends CORSFilter {

    public void init(FilterConfig filterConfig) {
        Properties props = new Properties();
        CORSConfiguration config = null;
        try {
            InputStream resourceAsStream = this.getClass().getClassLoader().getResourceAsStream("cors.properties");
            props.load(resourceAsStream);
            config = new CORSConfiguration(props);
        } catch (CORSConfigurationException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
        this.setConfiguration(config);
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 开启cors过滤 ,默认开启
        if (this.getConfiguration().allowGenericHttpRequests) {
            super.doFilter(request, response, chain);
        }else{
            // 未开启cors过滤
            chain.doFilter(request, response);
        }
    }
}

 3.项目根目录下添加配置文件(cors.properties)

文件常用配置:
# 开启过滤
cors.allowGenericHttpRequests = true
# 过滤路径
cors.allowOrigin = http://localhost:9090
# 允许cookie
cors.supportsCredentials = true
# 允许方法
cors.supportedMethods = GET, POST, HEAD, PUT, DELETE
# 允许请求头
cors.supportedHeaders = *
# response显示请求头
#cors.exposedHeaders
详细配置请参考:CORS Filter

三、SpringBoot使用自带的配置跨域(Spring Framework 4.2版本以上)(推荐)

 1.Filter实现

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    /**
     * 基于Filter的全局配置
     * @return
     */
    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(false);
        config.addAllowedOrigin("http://localhost:9090");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

 2.Servlet实现(实现粒度控制)

  2.1.全局配置
   2.1.1静态配置
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    /**
     * 基于Servlet的全局配置
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("*")
            .allowedMethods("POST","GET","PUT","DELETE")
            .maxAge(1800)
            .allowCredentials(true)
            .allowedHeaders("*")
            .exposedHeaders("L-TOKEN");
    }
}
   2.1.2配置文件配置
   配置实体类
   @Component
public class CorsConfigBean {    @Value("${mycors.allowGenericHttpRequests:false}")
    private Boolean allowGenericHttpRequests;    @Value("${mycors.allowedOrigins:NULL}")
    private List<String> allowedOrigins;   @Value("${mycors.allowedMethods:POST,GET,PUT,OPTIONS,DELETE}")
    private List<String> allowedMethods;
    @Value("${mycors.maxAge:30000}")
    private Long maxAge;
@Value("${mycors.allowCredentials:false}")
    private boolean allowCredentials; 
    @Value("${mycors.allowedHeaders:}")
    private List<String> allowedHeaders;
    @Value("${mycors.exposedHeaders:}")
    private List<String> exposedHeaders;
    // getters/setters
}
   配置文件(application.properties中配置)
# 开启跨域
mycors.allowGenericHttpRequests = true
# 过滤路径
mycors.allowedOrigins = http://localhost:9090
# 允许cookie
mycors.allowCredentials = false
# 预请求缓存时间
# mycors.maxAge = 1800
# 允许方法
# mycors.allowedMethods = GET,POST
# 允许请求头
mycors.allowedHeaders = *
# response显示请求头
mycors.exposedHeaders = X-Token
   配置类
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Autowired
    private CorsConfigBean corsConfigBean;

    /**
     * 基于Servlet的全局配置
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 开启跨域
        if (corsConfigBean.getAllowGenericHttpRequests()) {
            registry.addMapping("/**")
                    .allowedOrigins(corsConfigBean.getAllowedOrigins().toArray(new String[]{}))
                    .allowedMethods(corsConfigBean.getAllowedMethods().toArray(new String[]{}))
                    .maxAge(corsConfigBean.getMaxAge())
                    .allowCredentials(corsConfigBean.isAllowCredentials())
                    .allowedHeaders(corsConfigBean.getAllowedHeaders().toArray(new String[]{}))
                    .exposedHeaders(corsConfigBean.getExposedHeaders().toArray(new String[]{}));
        }else{
            super.addCorsMappings(registry);
        }
    }
}
  2.2.类配置
@RestController
@CrossOrigin(origins = {"http://localhost:9090"}) // 基于类的跨域控制
public class TestCorsController {

    @GetMapping("/testCors") 
    public String corsTest() {
        return "测试CORS简单请求跨域方法";
    }
}
  2.3.方法配置
@RestController
public class TestCorsController {

    @GetMapping("/testCors")
    @CrossOrigin(origins = {"null", "http://localhost:9090"}, allowCredentials = "true")  // 基于方法的跨域控制
    public String corsTest() {
        return "测试CORS简单请求跨域方法";
    }
}

四、总结

 1.全局配置

 可以使用Filter来进行统一配置

 2. 粒度控制

 使用Servlet配置,就近原则
 全局配置 < 类配置 < 方法配置

 3. 原理

  3.1请求头
  请求头中添加

  Origin

  3.2响应头
  响应头中添加:

  Access-Control-Allow-Credentials
  Access-Control-Allow-Origin
  Access-Control-Expose-Headers:X-Token
  Access-Control-Allow-Headers
  Access-Control-Allow-Methods
  Access-Control-Max-Age
  通过HTTP的Headers来判定跨域请求

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,133评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,682评论 3 390
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,784评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,508评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,603评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,607评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,604评论 3 415
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,359评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,805评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,121评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,280评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,959评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,588评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,206评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,442评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,193评论 2 367
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,144评论 2 352