Spring Boot 通过CORS实现跨域问题

2023-07-17 11:52:07 209

同源策略

很多人对跨域有一种误解，以为这是前端的事，和后端没关系，其实不是这样的，说到跨域，就不得不说说浏览器的同源策略。

同源策略是由Netscape提出的一个著名的安全策略，它是浏览器最核心也最基本的安全功能，现在所有支持JavaScript的浏览器都会使用这个策略。所谓同源是指协议、域名以及端口要相同。同源策略是基于安全方面的考虑提出来的，这个策略本身没问题，但是我们在实际开发中，由于各种原因又经常有跨域的需求，传统的跨域方案是JSONP，JSONP虽然能解决跨域但是有一个很大的局限性，那就是只支持GET请求，不支持其他类型的请求，而今天我们说的CORS（跨域源资源共享）（CORS，Cross-originresourcesharing）是一个W3C标准，它是一份浏览器技术的规范，提供了Web服务从不同网域传来沙盒脚本的方法，以避开浏览器的同源策略，这是JSONP模式的现代版。

实践

首先，我们新建两个工程：

新建工程一：cors1project

勾选Web模块因为我们等下需要通过web接口进行测试点击Finish完成构建

在cors1中我们新建一个HelloController,写上一个测试接口：

@RestController
publicclassHelloController{

@GetMapping("/hello")
publicStringhello(){
return"hellocors1";
}
}

新建工程二：cors2project

对应的勾选Web模块进行构建。

在cors2的static目录下，建立Index.html,并编写一个GET请求按钮，发起Ajax请求（前提：static目录下有jquery.js）
请求cors1工程的localhost:8080/hello接口





Title

并设定cors2工程的项目端口：

server.port=8081

分别启动cors1和cors2

访问localhost:8081/index.html点击按钮，发送请求：

访问报错，目前不支持跨域，验证了上面说的同源策略

解决方案一：

1.在Controller类或接口方法上，使用注解@CrossOrigin指定允许哪个域服务器访问

@RestController
publicclassHelloController{

@GetMapping("/hello")
@CrossOrigin(origins="http://localhost:8081")
publicStringhello(){
return"hellocors1";
}
}

重启Cors1项目，点击发送请求：

访问成功，浏览器控制台也没有报错

注意：
这种方式有一个弊端，就是我们需要在对外开放的每个接口或者类上都要写一遍，大大增加了开发的重复性和繁琐性

解决方案二

SpringBoot中，可以通过全局配置一次性解决这个问题，全局配置只需要在SpringMVC的配置类中重写**addCorsMappings**方法即可

packageorg.taoguoguo;

importorg.springframework.context.annotation.Configuration;
importorg.springframework.web.servlet.config.annotation.CorsRegistry;
importorg.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
*@authortaoguoguo
*@descriptionWebMvcConfig
*@websitehttps://www.cnblogs.com/doondo
*@create2020-09-0121:31
*/
@Configuration
publicclassWebMvcConfigimplementsWebMvcConfigurer{

/**
*跨域全局配置
*@paramregistry
*/
@Override
publicvoidaddCorsMappings(CorsRegistryregistry){
//addMapping允许哪些接口跨域
//allowedOrigins允许哪个域服务器访问
//allowedHeaders允许通过的请求头
//maxAge服务器在发送一些请求（例如put）会先发一个探测请求，避免每次都需要发送探测请求可以设置有效期
registry.addMapping("/**")
.allowedOrigins("http://localhost:8081")
.allowedHeaders("*")
.allowedMethods("*")
.maxAge(30*1000);
}
}

/**表示本应用的所有方法都会去处理跨域请求，allowedMethods表示允许通过的请求数，allowedHeaders则表示允许的请求头。经过这样的配置之后，就不必在每个方法上单独配置跨域了

现在再去页面访问，也是没有问题的

探测请求

我们在跨域设置中

maxAge服务器在发送一些请求（例如put）会先发一个探测请求，避免每次都需要发送探测请求可以设置有效

先举一个例子：
我们在Cors1中添加一个put请求

@RestController
publicclassHelloController{

@GetMapping("/hello")
@CrossOrigin(origins="http://localhost:8081")
publicStringhello(){
return"hellocors1";
}

@PutMapping("/doput")
publicStringdoput(){
return"doput";
}
}

在cors2中增加put请求发送按钮





Title

启动cors1cors2发送put请求：

我们看到请求一次浏览器会发送两次请求，其中RequestMethods为options的即为探测请求
因为我们设置了探测请求的有效期，因此当我们再次发送时，浏览器只会发送一次请求

了解了整个CORS的工作过程之后，我们通过Ajax发送跨域请求，虽然用户体验提高了，但是也有潜在的威胁存在，常见的就是CSRF（Cross-siterequestforgery）跨站请求伪造。跨站请求伪造也被称为one-clickattack或者sessionriding，通常缩写为CSRF或者XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法

假如一家银行用以运行转账操作的URL地址如下：**http://icbc.com/aa?bb=cc**，那么，一个恶意攻击者可以在另一个网站上放置如下代码：****，如果用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，那么她就会遭受损失。

基于此，浏览器在实际操作中，会对请求进行分类，分为简单请求，预先请求，带凭证的请求等，预先请求会首先发送一个options探测请求，和浏览器进行协商是否接受请求。默认情况下跨域请求是不需要凭证的，但是服务端可以配置要求客户端提供凭证，这样就可以有效避免csrf攻击。

总结

到此这篇关于SpringBoot通过CORS实现跨域问题的文章就介绍到这了,更多相关SpringBoot实现跨域内容请搜索毛票票以前的文章或继续浏览下面的相关文章希望大家以后多多支持毛票票！

声明：本文内容来源于网络，版权归原作者所有，内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：czq8825#qq.com（发邮件时，请将#更换为@）进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。

Spring Boot 通过CORS实现跨域问题

热门推荐

随机推荐