跨域
10年積累的成都網(wǎng)站設(shè)計(jì)����、成都做網(wǎng)站經(jīng)驗(yàn)�����,可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求����。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好����、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你����,你也不認(rèn)識我。但先建設(shè)網(wǎng)站后付款的網(wǎng)站建設(shè)流程��,更有蓬江免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。
一個(gè)資源會發(fā)起一個(gè)跨域HTTP請求(Cross-site HTTP request), 當(dāng)它請求的一個(gè)資源是從一個(gè)與它本身提供的第一個(gè)資源的不同的域名時(shí) ����。
比如說����,域名A(http://domaina.example)的某 Web 應(yīng)用程序中通過標(biāo)簽引入了域名B(http://domainb.foo)站點(diǎn)的某圖片資源(/upload/otherpic64/103366.jpg),域名A的那 Web 應(yīng)用就會導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 HTTP 請求�����。在當(dāng)今的 Web 開發(fā)中�����,使用跨站 HTTP 請求加載各類資源(包括CSS��、圖片�、JavaScript 腳本以及其它類資源),已經(jīng)成為了一種普遍且流行的方式����。
正如大家所知,出于安全考慮����,瀏覽器會限制腳本中發(fā)起的跨站請求��。比如�,使用 XMLHttpRequest對象發(fā)起 HTTP 請求就必須遵守同源策略�����。 具體而言����,Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發(fā)起 HTTP 請求,而不能向任何其它域名發(fā)起請求�。為了能開發(fā)出更強(qiáng)大、更豐富����、更安全的Web應(yīng)用程序,開發(fā)人員渴望著在不丟失安全的前提下�����,Web 應(yīng)用技術(shù)能越來越強(qiáng)大�����、越來越豐富。比如��,可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請求��。(這段描述跨域不準(zhǔn)確����,跨域并非瀏覽器限制了發(fā)起跨站請求���,而是跨站請求可以正常發(fā)起���,但是返回結(jié)果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理�,請求是發(fā)送到了后端服務(wù)器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP��,比如Chrome和Firefox��,這些瀏覽器在請求還未發(fā)出的時(shí)候就會攔截請求��,這是一個(gè)特例��。)
more:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
CROS
CORS 全稱為 Cross Origin Resource Sharing(跨域資源共享)���,服務(wù)端只需添加相關(guān)響應(yīng)頭信息�����,即可實(shí)現(xiàn)客戶端發(fā)出 AJAX 跨域請求�����。
@CrossOrigin
1.在Controller上直接使用 Controller上的所有請求都可以跨域 �����,origins = "*" 代表所有都能請求
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
2. 在方法上使用
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin("http://domain2.com")
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
另一中方法:
CorsFilter 主要目的便是添加相關(guān)的信息頭�,使用Filter也可以實(shí)現(xiàn)。
@Configuration
public class BeanConfiguration {
@Bean
public CorsFilter corsFilter() {
final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
final CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.setAllowCredentials(true);
corsConfiguration.addAllowedOrigin("*");
corsConfiguration.addAllowedHeader("*");
corsConfiguration.addAllowedMethod("*");
urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
return new CorsFilter(urlBasedCorsConfigurationSource);
}
}
Access-Control-Allow-Origin:允許訪問的客戶端域名����,例如:http://web.xxx.com,若為 *�,則表示從任意域都能訪問,即不做任何限制���。
- Access-Control-Allow-Methods:允許訪問的方法名��,多個(gè)方法名用逗號分割����,例如:GET,POST,PUT,DELETE,OPTIONS。
- Access-Control-Allow-Credentials:是否允許請求帶有驗(yàn)證信息��,若要獲取客戶端域下的 cookie 時(shí)�,需要將其設(shè)置為 true。
- Access-Control-Allow-Headers:允許服務(wù)端訪問的客戶端請求頭�,多個(gè)請求頭用逗號分割,例如:Content-Type���。
- Access-Control-Expose-Headers:允許客戶端訪問的服務(wù)端響應(yīng)頭����,多個(gè)響應(yīng)頭用逗號分割���。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助���,也希望大家多多支持創(chuàng)新互聯(lián)�。
標(biāo)題名稱:JavaSpringboot2.0跨域問題的解決
網(wǎng)站URL:
http://weahome.cn/article/jggeoc.html
重慶分公司
重慶分公司
