电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁(yè)技術(shù)文章
文章詳情頁(yè)

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

瀏覽:2日期:2023-08-17 13:48:51

同源策略

很多人對(duì)跨域有一種誤解,以為這是前端的事,和后端沒(méi)關(guān)系,其實(shí)不是這樣的,說(shuō)到跨域,就不得不說(shuō)說(shuō)瀏覽器的同源策略。

同源策略是由 Netscape 提出的一個(gè)著名的安全策略,它是瀏覽器最核心也最基本的安全功能,現(xiàn)在所有支持 JavaScript 的瀏覽器都會(huì)使用這個(gè)策略。所謂同源是指協(xié)議、域名以及端口要相同。同源策略是基于安全方面的考慮提出來(lái)的,這個(gè)策略本身沒(méi)問(wèn)題,但是我們?cè)趯?shí)際開(kāi)發(fā)中,由于各種原因又經(jīng)常有跨域的需求,傳統(tǒng)的跨域方案是 JSONP,JSONP 雖然能解決跨域但是有一個(gè)很大的局限性,那就是只支持 GET 請(qǐng)求,不支持其他類型的請(qǐng)求,而今天我們說(shuō)的 CORS(跨域源資源共享)(CORS,Cross-origin resource sharing)是一個(gè) W3C 標(biāo)準(zhǔn),它是一份瀏覽器技術(shù)的規(guī)范,提供了 Web 服務(wù)從不同網(wǎng)域傳來(lái)沙盒腳本的方法,以避開(kāi)瀏覽器的同源策略,這是 JSONP 模式的現(xiàn)代版。

實(shí)踐

首先,我們新建兩個(gè)工程:

新建工程一:cors1 project

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

勾選Web模塊 因?yàn)槲覀兊认滦枰ㄟ^(guò)web接口進(jìn)行測(cè)試 點(diǎn)擊Finish完成構(gòu)建

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

在cors1 中 我們新建一個(gè)HelloController,寫(xiě)上一個(gè)測(cè)試接口:

@RestControllerpublic class HelloController { @GetMapping('/hello') public String hello(){ return 'hello cors1'; }}

新建工程二:cors2 project

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

對(duì)應(yīng)的勾選Web模塊進(jìn)行構(gòu)建。

在cors2的static目錄下,建立Index.html,并編寫(xiě)一個(gè)GET請(qǐng)求按鈕,發(fā)起Ajax請(qǐng)求(前提:static目錄下有jquery.js)請(qǐng)求cors1 工程的 localhost:8080/hello接口

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title> <script src='http://www.hdgsjgj.cn/bcjs/jquery3.3.1.js'></script></head><body><div id='app'></div><input type='button' value='GET' onclick='getData()'><input type='button' value='PUT' onclick='putData()'><script> function getData() { $.get('http://localhost:8080/hello',function (msg) { $('#app').html(msg); }) }</script></body></html>

并設(shè)定cors2 工程的項(xiàng)目端口:

server.port = 8081

分別啟動(dòng)cors1 和 cors2

訪問(wèn) localhost:8081/index.html 點(diǎn)擊按鈕,發(fā)送請(qǐng)求:Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

訪問(wèn)報(bào)錯(cuò),目前不支持跨域,驗(yàn)證了上面說(shuō)的 同源策略

解決方案一:

1.在Controller類 或 接口方法上,使用 注解 @CrossOrigin 指定允許哪個(gè)域服務(wù)器訪問(wèn)

@RestControllerpublic class HelloController { @GetMapping('/hello') @CrossOrigin(origins = 'http://localhost:8081') public String hello(){ return 'hello cors1'; }}

重啟 Cors1 項(xiàng)目,點(diǎn)擊發(fā)送請(qǐng)求:

訪問(wèn)成功,瀏覽器控制臺(tái)也沒(méi)有報(bào)錯(cuò)

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

注意:這種方式有一個(gè)弊端,就是我們需要在對(duì)外開(kāi)放的每個(gè)接口或者類上都要寫(xiě)一遍,大大增加了開(kāi)發(fā)的重復(fù)性和繁瑣性

解決方案二

Spring Boot 中,可以通過(guò)全局配置一次性解決這個(gè)問(wèn)題,全局配置只需要在 SpringMVC 的配置類中重寫(xiě) **addCorsMappings **方法即可

package org.taoguoguo;import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.CorsRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;/** * @author taoguoguo * @description WebMvcConfig * @website https://www.cnblogs.com/doondo * @create 2020-09-01 21:31 */@Configurationpublic class WebMvcConfig implements WebMvcConfigurer { /** * 跨域全局配置 * @param registry */ @Override public void addCorsMappings(CorsRegistry registry) { //addMapping 允許哪些接口跨域 //allowedOrigins 允許哪個(gè)域服務(wù)器訪問(wèn) //allowedHeaders 允許通過(guò)的請(qǐng)求頭 //maxAge 服務(wù)器在發(fā)送一些請(qǐng)求(例如put)會(huì)先發(fā)一個(gè)探測(cè)請(qǐng)求,避免每次都需要發(fā)送探測(cè)請(qǐng)求 可以設(shè)置有效期 registry.addMapping('/**').allowedOrigins('http://localhost:8081').allowedHeaders('*').allowedMethods('*').maxAge(30*1000); }}

/** 表示本應(yīng)用的所有方法都會(huì)去處理跨域請(qǐng)求,allowedMethods 表示允許通過(guò)的請(qǐng)求數(shù),allowedHeaders 則表示允許的請(qǐng)求頭。經(jīng)過(guò)這樣的配置之后,就不必在每個(gè)方法上單獨(dú)配置跨域了

現(xiàn)在再去頁(yè)面訪問(wèn),也是沒(méi)有問(wèn)題的Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

探測(cè)請(qǐng)求

我們?cè)诳缬蛟O(shè)置中

maxAge 服務(wù)器在發(fā)送一些請(qǐng)求(例如put)會(huì)先發(fā)一個(gè)探測(cè)請(qǐng)求,避免每次都需要發(fā)送探測(cè)請(qǐng)求 可以設(shè)置有效

先舉一個(gè)例子:我們?cè)贑ors1中添加一個(gè)put請(qǐng)求

@RestControllerpublic class HelloController { @GetMapping('/hello') @CrossOrigin(origins = 'http://localhost:8081') public String hello(){ return 'hello cors1'; } @PutMapping('/doput') public String doput(){ return 'doput'; }}

在cors2中增加put請(qǐng)求發(fā)送按鈕

<!DOCTYPE html><html lang='en'><head> <meta charset='UTF-8'> <title>Title</title> <script src='http://www.hdgsjgj.cn/bcjs/jquery3.3.1.js'></script></head><body><div id='app'></div><input type='button' value='GET' onclick='getData()'><input type='button' value='PUT' onclick='putData()'><script> function getData() { $.get('http://localhost:8080/hello',function (msg) { $('#app').html(msg); }) } function putData() { $.ajax({ type:’put’, url: ’http://localhost:8080/doput’, success:function (msg) {$('#app').html(msg); } }) }</script></body></html>

啟動(dòng)cors1 cors2 發(fā)送put請(qǐng)求:

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

我們看到請(qǐng)求一次 瀏覽器會(huì)發(fā)送兩次請(qǐng)求,其中Request Methods 為 options 的即為探測(cè)請(qǐng)求因?yàn)槲覀冊(cè)O(shè)置了探測(cè)請(qǐng)求的有效期,因此當(dāng)我們?cè)俅伟l(fā)送時(shí),瀏覽器只會(huì)發(fā)送一次請(qǐng)求

Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題

了解了整個(gè) CORS 的工作過(guò)程之后,我們通過(guò) Ajax 發(fā)送跨域請(qǐng)求,雖然用戶體驗(yàn)提高了,但是也有潛在的威脅存在,常見(jiàn)的就是 CSRF(Cross-site request forgery)跨站請(qǐng)求偽造。跨站請(qǐng)求偽造也被稱為 one-click attack 或者 session riding,通常縮寫(xiě)為 CSRF 或者 XSRF,是一種挾制用戶在當(dāng)前已登錄的 Web 應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法

假如一家銀行用以運(yùn)行轉(zhuǎn)賬操作的URL地址如下:**http://icbc.com/aa?bb=cc**,那么,一個(gè)惡意攻擊者可以在另一個(gè)網(wǎng)站上放置如下代碼:**<img src='http://icbc.com/aa?bb=cc'>**,如果用戶訪問(wèn)了惡意站點(diǎn),而她之前剛訪問(wèn)過(guò)銀行不久,登錄信息尚未過(guò)期,那么她就會(huì)遭受損失。

基于此,瀏覽器在實(shí)際操作中,會(huì)對(duì)請(qǐng)求進(jìn)行分類,分為簡(jiǎn)單請(qǐng)求,預(yù)先請(qǐng)求,帶憑證的請(qǐng)求等,預(yù)先請(qǐng)求會(huì)首先發(fā)送一個(gè) options 探測(cè)請(qǐng)求,和瀏覽器進(jìn)行協(xié)商是否接受請(qǐng)求。默認(rèn)情況下跨域請(qǐng)求是不需要憑證的,但是服務(wù)端可以配置要求客戶端提供憑證,這樣就可以有效避免 csrf 攻擊。

總結(jié)

到此這篇關(guān)于Spring Boot 通過(guò)CORS實(shí)現(xiàn)跨域問(wèn)題的文章就介紹到這了,更多相關(guān)Spring Boot實(shí)現(xiàn)跨域內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)!

標(biāo)簽: Spring
相關(guān)文章:
主站蜘蛛池模板: 120kv/2mA直流高压发生器-60kv/2mA-30kva/50kv工频耐压试验装置-旭明电工 | 100_150_200_250_300_350_400公斤压力空气压缩机-舰艇航天配套厂家 | 北京燃气公司 用户服务中心| 电镀电源整流器_高频电解电源_单脉双脉冲电源 - 东阳市旭东电子科技 | 细砂提取机,隔膜板框泥浆污泥压滤机,螺旋洗砂机设备,轮式洗砂机械,机制砂,圆锥颚式反击式破碎机,振动筛,滚筒筛,喂料机- 上海重睿环保设备有限公司 | 电气控制系统集成商-PLC控制柜变频控制柜-非标自动化定制-电气控制柜成套-NIDEC CT变频器-威肯自动化控制 | 长沙发电机-湖南发电机-柴油发电机供应厂家-长沙明邦智能科技 | 海南在线 海南一家| 仿真植物|仿真树|仿真花|假树|植物墙 - 广州天昆仿真植物有限公司 | 宁夏档案密集柜,智能密集柜,电动手摇密集柜-盛隆柜业宁夏档案密集柜厂家 | 成人纸尿裤,成人尿不湿,成人护理垫-山东康舜日用品有限公司 | 垃圾压缩设备_垃圾处理设备_智能移动式垃圾压缩设备--山东明莱环保设备有限公司 | 亿立分板机_曲线_锯片式_走刀_在线式全自动_铣刀_在线V槽分板机-杭州亿协智能装备有限公司 | 二次元影像仪|二次元测量仪|拉力机|全自动影像测量仪厂家_苏州牧象仪器 | 走心机厂家,数控走心机-台州博城智能科技有限公司 | 磁力抛光机_磁力研磨机_磁力去毛刺机_精密五金零件抛光设备厂家-冠古科技 | 出国劳务公司_正规派遣公司[严海] | 物和码官网,物和码,免费一物一码数字化营销SaaS平台 | 拉卡拉POS机官网 - 官方直营POS机办理|在线免费领取 | 北京中创汇安科贸有限公司 | 鼓风干燥箱_真空烘箱_高温干燥箱_恒温培养箱-上海笃特科学仪器 | 手持式线材张力计-套帽式风量罩-深圳市欧亚精密仪器有限公司 | 爱佩恒温恒湿测试箱|高低温实验箱|高低温冲击试验箱|冷热冲击试验箱-您身边的模拟环境试验设备技术专家-合作热线:400-6727-800-广东爱佩试验设备有限公司 | 数控走心机-走心机价格-双主轴走心机-宝宇百科 | 包塑丝_高铁绑丝_地暖绑丝_涂塑丝_塑料皮铁丝_河北创筹金属丝网制品有限公司 | 柴油机_柴油发电机_厂家_品牌-江苏卡得城仕发动机有限公司 | 仓储货架_南京货架_钢制托盘_仓储笼_隔离网_环球零件盒_诺力液压车_货架-南京一品仓储设备制造公司 | 东莞喷砂机-喷砂机-喷砂机配件-喷砂器材-喷砂加工-东莞市协帆喷砂机械设备有限公司 | 臭氧灭菌箱-油桶加热箱-原料桶加热融化烘箱-南京腾阳干燥设备厂 臭氧发生器_臭氧消毒机 - 【同林品牌 实力厂家】 | 冷柜风机-冰柜电机-罩极电机-外转子风机-EC直流电机厂家-杭州金久电器有限公司 | 高速混合机_锂电混合机_VC高效混合机-无锡鑫海干燥粉体设备有限公司 | 广东护栏厂家-广州护栏网厂家-广东省安麦斯交通设施有限公司 | 送料机_高速冲床送料机_NC伺服滚轮送料机厂家-东莞市久谐自动化设备有限公司 | 科箭WMS仓库管理软件-TMS物流管理系统-科箭SaaS云服务 | 立式硫化罐-劳保用品硫化罐-厂家直销-山东鑫泰鑫硫化罐厂家 | 乐考网-银行从业_基金从业资格考试_初级/中级会计报名时间_中级经济师 | 萃取箱-萃取槽-PVC萃取箱厂家-混合澄清槽- 杭州南方化工设备 | 闪蒸干燥机-喷雾干燥机-带式干燥机-桨叶干燥机-[常州佳一干燥设备] | 食品无尘净化车间,食品罐装净化车间,净化车间配套风淋室-青岛旭恒洁净技术有限公司 | 纯化水设备-纯水设备-超纯水设备-[大鹏水处理]纯水设备一站式服务商-东莞市大鹏水处理科技有限公司 | 济南品牌设计-济南品牌策划-即合品牌策划设计-山东即合官网 |