溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

Spring 跨域配置請(qǐng)求詳解

發(fā)布時(shí)間:2020-08-21 21:03:00 來(lái)源:腳本之家 閱讀:146 作者:BBFBBF 欄目:編程語(yǔ)言

介紹

跨站 HTTP 請(qǐng)求(Cross-site HTTP request)是指發(fā)起請(qǐng)求的資源所在域不同于該請(qǐng)求所指向資源所在的域的 HTTP 請(qǐng)求。比如說(shuō),域名A(http://domaina.example)的某 Web 應(yīng)用程序中通過(guò)標(biāo)簽引入了域名B(http://domainb.foo)站點(diǎn)的某圖片資源(https://cache.yisu.com/upload/information/20200623/121/99844.jpg),域名A的那 Web 應(yīng)用就會(huì)導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 HTTP 請(qǐng)求。在當(dāng)今的 Web 開(kāi)發(fā)中,使用跨站 HTTP 請(qǐng)求加載各類(lèi)資源(包括CSS、圖片、JavaScript 腳本以及其它類(lèi)資源),已經(jīng)成為了一種普遍且流行的方式。

出于安全考慮,瀏覽器會(huì)限制腳本中發(fā)起的跨站請(qǐng)求。比如,使用 XMLHttpRequest 對(duì)象發(fā)起 HTTP 請(qǐng)求就必須遵守同源策略(same-origin policy)。 具體而言,Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對(duì)象向其加載的源域名發(fā)起 HTTP 請(qǐng)求,而不能向任何其它域名發(fā)起請(qǐng)求。為了能開(kāi)發(fā)出更強(qiáng)大、更豐富、更安全的Web應(yīng)用程序,開(kāi)發(fā)人員渴望著在不丟失安全的前提下,Web 應(yīng)用技術(shù)能越來(lái)越強(qiáng)大、越來(lái)越豐富。比如,可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請(qǐng)求。(這段描述跨域不準(zhǔn)確,跨域并非瀏覽器限制了發(fā)起跨站請(qǐng)求,而是跨站請(qǐng)求可以正常發(fā)起,但是返回結(jié)果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請(qǐng)求是發(fā)送到了后端服務(wù)器無(wú)論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問(wèn)HTTP,比如Chrome和Firefox,這些瀏覽器在請(qǐng)求還未發(fā)出的時(shí)候就會(huì)攔截請(qǐng)求,這是一個(gè)特例。)

普通參數(shù)跨域

在response的頭文件添加

httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");

參數(shù) 描述
Access-Control-Allow-Origin * 授權(quán)的源控制
Access-Control-Allow-Credentials true / false 是否允許用戶(hù)發(fā)送和處理cookie
Access-Control-Allow-Methods [,]* 允許請(qǐng)求的HTTP Method,多個(gè)用逗號(hào)分隔
Access-Control-Allow-Headers [,]* 控制哪些header能發(fā)送真正的請(qǐng)求,多個(gè)用逗號(hào)分隔
Access-Control-Max-Age 授權(quán)的時(shí)間,單位為秒。有效期內(nèi),不會(huì)重復(fù)發(fā)送預(yù)檢請(qǐng)求

帶headr請(qǐng)求跨域

這樣客戶(hù)端需要發(fā)起OPTIONS請(qǐng)求, 可以說(shuō)是一個(gè)【預(yù)請(qǐng)求】,用于探測(cè)后續(xù)真正需要發(fā)起的跨域 POST 請(qǐng)求對(duì)于服務(wù)器來(lái)說(shuō)是否是安全可接受的,因?yàn)榭缬蛱峤粩?shù)據(jù)對(duì)于服務(wù)器來(lái)說(shuō)可能存在很大的安全問(wèn)題。

因?yàn)镾pringmvc模式是關(guān)閉OPTIONS請(qǐng)求的,所以需要開(kāi)啟

<servlet>  
 <servlet-name>application</servlet-name>
 <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
 <init-param>
  <param-name>dispatchOptionsRequest</param-name>
  <param-value>true</param-value>
 </init-param>
 <load-on-startup>1</load-on-startup>
</servlet>

開(kāi)啟CORS

SpringMVC從4.2版本開(kāi)始增加了對(duì)CORS的支持。在springMVC 中增加CORS支持非常簡(jiǎn)單,可以配置全局的規(guī)則,也可以使用@CrossOrigin注解進(jìn)行細(xì)粒度的配置。

使用@CrossOrigin注解

先通過(guò)源碼看看該注解支持的屬性

在Controller上使用@CrossOrigin注解

// 指定當(dāng)前的AccountController中所有的方法可以處理所有域上的請(qǐng)求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

CORS全局配置

除了細(xì)粒度基于注解的配置,可以定義全局CORS的配置。這類(lèi)似于使用過(guò)濾器,但可以在Spring MVC中聲明,并結(jié)合細(xì)粒度@CrossOrigin配置。默認(rèn)情況下所有的域名和GET、HEAD和POST方法都是允許的。

基于XML的配置

<mvc:cors>
 <mvc:mapping path="/api/**"
  allowed-origins="http://domain1.com, http://domain2.com"
  allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
  allowed-headers="header1, header2, header3"
  exposed-headers="header1, header2" 
  allow-credentials="false"
  max-age="72000" />

  <mvc:mapping path="/resources/**"
  allowed-origins="http://domain3.com" />
</mvc:cors>

基于代碼的配置

這個(gè)方法同樣適用于SpringBoot。

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

 @Override
 public void addCorsMappings(CorsRegistry registry) {
  registry.addMapping("/api/**")
   .allowedOrigins("http://domain1.com")
   .allowedOrigins("http://domain2.com")
   .allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
   .allowedHeaders("header1", "header2", "header3")
   .exposedHeaders("header1", "header2")
   .allowCredentials(false)
   .maxAge(72000L);
   
  registry.addMapping("/resources/**")
   .allowedOrigins("http://domain3.com");
 }
}

基于過(guò)濾器的配置

import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean
public FilterRegistrationBean corsFilter() {
 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
 CorsConfiguration config = new CorsConfiguration();
 config.addAllowedOrigin("http://domain1.com");
 config.addAllowedOrigin("http://domain2.com");
 config.addAllowedHeader("*");
 config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
 config.setAllowCredentials(true);
 config.setMaxAge(72000L);
 // CORS 配置對(duì)所有接口都有效
 source.registerCorsConfiguration("/**", config);
 FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
 bean.setOrder(0);
 return bean;
}

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持億速云。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI