欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

SpringBoot解决跨域请求拦截

程序员文章站 2022-12-17 22:18:58
前言 同源策略:判断是否是同源的,主要看这三点,协议,ip,端口。 同源策略就是浏览器出于网站安全性的考虑,限制不同源之间的资源相互访问的一种政策。 比如在域名https://www.baidu.com下,脚本不能够访问https://www.sina.com源下的资源,否则将会被浏览器拦截。 注意 ......

 

前言 

同源策略:判断是否是同源的,主要看这三点,协议,ip,端口。

同源策略就是浏览器出于网站安全性的考虑,限制不同源之间的资源相互访问的一种政策。

比如在域名https://www.baidu.com下,脚本不能够访问https://www.sina.com源下的资源,否则将会被浏览器拦截。

 

注意两点:

1.必须是脚本请求,比如ajax请求。

但是如下情况不会产生跨域拦截

<img src="xxx"/>
<a href='xxx"> </a>

2.跨域拦截是前端请求已经发出,并且在后端返回响应时检查相关参数,是否允许接收后端请求。

 

 在微服务开发中,一个系统包含多个微服务,会存在跨域请求的场景。

 

本文主要讲解springboot解决跨域请求拦截的问题。

 

搭建项目

这里创建两个web项目,web1 和 web2.

web2项目请求web1项目的资源。

这里只贴关键代码,完整代码参考github

web2

创建一个controller返回html页面

@slf4j
@controller
public class homecontroller {

    @requestmapping("/index")
    public string home(){
        log.info("/index");

        return "/home";
    }
}

 

html页面 home.html

这里创建了一个按钮,按钮按下则请求资源:"http://localhost:8301/hello"

<!doctype html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <title>web2</title>

    <script src="https://cdn.staticfile.org/jquery/1.10.2/jquery.min.js">
    </script>

    <script>
        $(function () {
            
            $("#testbtn").click(function () {
                console.log("testbtn ...");
                $.get("http://localhost:8301/hello",function(data,status){
                    alert("数据: " + data + "\n状态: " + status);
                });
            })
            
        })

    </script>
</head>
<body>
    web2
    <button id="testbtn">测试</button>
</body>
</html>

 

web1

@slf4j
@restcontroller
public class web1controller {

    @requestmapping("/hello")
    public string hello(){
        log.info("hello ");
        return "hello," + new date().tostring();
    }
}

 这里配置两个项目为不同的端口。

web1为8301

web2为8302

因此是不同源的。 

测试

在web1还没有配置允许跨域访问的情况下

按下按钮,将会出现错误。显示header中没有access-control-allow-origin

access to xmlhttprequest at 'http://localhost:8301/hello' from origin 'http://localhost:8300' has been blocked by cors policy: no 'access-control-allow-origin' header is present on the requested resource.

 

 

web1添加允许跨域请求,通过实现webmvcconfigurer

@configuration
public class webmvcconfig implements webmvcconfigurer {

    @override
    public void addcorsmappings(corsregistry registry) {
        registry.addmapping("/hello");
    }
}

 

再次访问将会返回正常数据。

SpringBoot解决跨域请求拦截

除了以上的配置外,还可以做更细致的限制

比如对请求的headers,请求的方法post/get...。请求的源进行限制。

SpringBoot解决跨域请求拦截

 

同时还可以使用注解 @crossorigin来替换上面的配置。

@slf4j
@restcontroller
public class web1controller {

    @crossorigin
    @requestmapping("/hello")
    public string hello(){
        log.info("hello ");
        return "hello," + new date().tostring();
    }
}

 

 

注解可以用在类上,也可以用在方法上,但必须是控制器类

配置和上面一样,也是可以对方法,header,源进行个性化限制。

@target({elementtype.method, elementtype.type})
@retention(retentionpolicy.runtime)
@documented
public @interface crossorigin {
    /** @deprecated */
    @deprecated
    string[] default_origins = new string[]{"*"};
    /** @deprecated */
    @deprecated
    string[] default_allowed_headers = new string[]{"*"};
    /** @deprecated */
    @deprecated
    boolean default_allow_credentials = false;
    /** @deprecated */
    @deprecated
    long default_max_age = 1800l;

    @aliasfor("origins")
    string[] value() default {};

    @aliasfor("value")
    string[] origins() default {};

    string[] allowedheaders() default {};

    string[] exposedheaders() default {};

    requestmethod[] methods() default {};

    string allowcredentials() default "";

    long maxage() default -1l;
}