欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring 跨域配置請(qǐng)求詳解

 更新時(shí)間:2019年01月09日 15:09:40   作者:BBFBBF  
這篇文章主要介紹了Spring 跨域配置請(qǐng)求詳解,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

介紹

跨站 HTTP 請(qǐng)求(Cross-site HTTP request)是指發(fā)起請(qǐng)求的資源所在域不同于該請(qǐng)求所指向資源所在的域的 HTTP 請(qǐng)求。比如說,域名A(http://domaina.example)的某 Web 應(yīng)用程序中通過標(biāo)簽引入了域名B(http://domainb.foo)站點(diǎn)的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應(yīng)用就會(huì)導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 HTTP 請(qǐng)求。在當(dāng)今的 Web 開發(fā)中,使用跨站 HTTP 請(qǐng)求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經(jīng)成為了一種普遍且流行的方式。

出于安全考慮,瀏覽器會(huì)限制腳本中發(fā)起的跨站請(qǐng)求。比如,使用 XMLHttpRequest 對(duì)象發(fā)起 HTTP 請(qǐng)求就必須遵守同源策略(same-origin policy)。 具體而言,Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對(duì)象向其加載的源域名發(fā)起 HTTP 請(qǐng)求,而不能向任何其它域名發(fā)起請(qǐng)求。為了能開發(fā)出更強(qiáng)大、更豐富、更安全的Web應(yīng)用程序,開發(fā)人員渴望著在不丟失安全的前提下,Web 應(yīng)用技術(shù)能越來越強(qiáng)大、越來越豐富。比如,可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請(qǐng)求。(這段描述跨域不準(zhǔn)確,跨域并非瀏覽器限制了發(fā)起跨站請(qǐng)求,而是跨站請(qǐng)求可以正常發(fā)起,但是返回結(jié)果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請(qǐng)求是發(fā)送到了后端服務(wù)器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請(qǐng)求還未發(fā)出的時(shí)候就會(huì)攔截請(qǐng)求,這是一個(gè)特例。)

普通參數(shù)跨域

在response的頭文件添加

httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");

參數(shù) 描述
Access-Control-Allow-Origin * 授權(quán)的源控制
Access-Control-Allow-Credentials true / false 是否允許用戶發(fā)送和處理cookie
Access-Control-Allow-Methods [,]* 允許請(qǐng)求的HTTP Method,多個(gè)用逗號(hào)分隔
Access-Control-Allow-Headers [,]* 控制哪些header能發(fā)送真正的請(qǐng)求,多個(gè)用逗號(hào)分隔
Access-Control-Max-Age 授權(quán)的時(shí)間,單位為秒。有效期內(nèi),不會(huì)重復(fù)發(fā)送預(yù)檢請(qǐng)求

帶headr請(qǐng)求跨域

這樣客戶端需要發(fā)起OPTIONS請(qǐng)求, 可以說是一個(gè)【預(yù)請(qǐng)求】,用于探測(cè)后續(xù)真正需要發(fā)起的跨域 POST 請(qǐng)求對(duì)于服務(wù)器來說是否是安全可接受的,因?yàn)榭缬蛱峤粩?shù)據(jù)對(duì)于服務(wù)器來說可能存在很大的安全問題。

因?yàn)镾pringmvc模式是關(guān)閉OPTIONS請(qǐng)求的,所以需要開啟

<servlet>  
 <servlet-name>application</servlet-name>
 <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
 <init-param>
  <param-name>dispatchOptionsRequest</param-name>
  <param-value>true</param-value>
 </init-param>
 <load-on-startup>1</load-on-startup>
</servlet>

開啟CORS

SpringMVC從4.2版本開始增加了對(duì)CORS的支持。在springMVC 中增加CORS支持非常簡(jiǎn)單,可以配置全局的規(guī)則,也可以使用@CrossOrigin注解進(jìn)行細(xì)粒度的配置。

使用@CrossOrigin注解

先通過源碼看看該注解支持的屬性

在Controller上使用@CrossOrigin注解

// 指定當(dāng)前的AccountController中所有的方法可以處理所有域上的請(qǐng)求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

CORS全局配置

除了細(xì)粒度基于注解的配置,可以定義全局CORS的配置。這類似于使用過濾器,但可以在Spring MVC中聲明,并結(jié)合細(xì)粒度@CrossOrigin配置。默認(rèn)情況下所有的域名和GET、HEAD和POST方法都是允許的。

基于XML的配置

<mvc:cors>
 <mvc:mapping path="/api/**"
  allowed-origins="http://domain1.com, http://domain2.com"
  allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
  allowed-headers="header1, header2, header3"
  exposed-headers="header1, header2" 
  allow-credentials="false"
  max-age="72000" />

  <mvc:mapping path="/resources/**"
  allowed-origins="http://domain3.com" />
</mvc:cors>

基于代碼的配置

這個(gè)方法同樣適用于SpringBoot。

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

 @Override
 public void addCorsMappings(CorsRegistry registry) {
  registry.addMapping("/api/**")
   .allowedOrigins("http://domain1.com")
   .allowedOrigins("http://domain2.com")
   .allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
   .allowedHeaders("header1", "header2", "header3")
   .exposedHeaders("header1", "header2")
   .allowCredentials(false)
   .maxAge(72000L);
   
  registry.addMapping("/resources/**")
   .allowedOrigins("http://domain3.com");
 }
}

基于過濾器的配置

import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean
public FilterRegistrationBean corsFilter() {
 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
 CorsConfiguration config = new CorsConfiguration();
 config.addAllowedOrigin("http://domain1.com");
 config.addAllowedOrigin("http://domain2.com");
 config.addAllowedHeader("*");
 config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
 config.setAllowCredentials(true);
 config.setMaxAge(72000L);
 // CORS 配置對(duì)所有接口都有效
 source.registerCorsConfiguration("/**", config);
 FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
 bean.setOrder(0);
 return bean;
}

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • Java的sort的排序及使用詳解

    Java的sort的排序及使用詳解

    這篇文章主要為大家詳細(xì)介紹了Java的sort的排序及使用,文中示例代碼介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下 ,希望您能夠多多關(guān)注
    2022-02-02
  • Spring使用event-stream進(jìn)行數(shù)據(jù)推送

    Spring使用event-stream進(jìn)行數(shù)據(jù)推送

    這篇文章主要介紹了Spring使用event-stream進(jìn)行數(shù)據(jù)推送,前端使用EventSource方式向后臺(tái)發(fā)送請(qǐng)求,后端接收到之后使用event-stream方式流式返回,文中有相關(guān)的代碼示例供大家參考,需要的朋友可以參考下
    2024-03-03
  • springBoot連接遠(yuǎn)程Redis連接失敗的問題解決

    springBoot連接遠(yuǎn)程Redis連接失敗的問題解決

    本文主要介紹了springBoot連接遠(yuǎn)程Redis連接失敗的問題解決,使用springboot里面的redisTemplate進(jìn)行連接的時(shí)候,卻發(fā)生了報(bào)錯(cuò),下面就來一起解決一下
    2024-05-05
  • SpringBoot響應(yīng)Json數(shù)據(jù)亂碼通過配置的解決

    SpringBoot響應(yīng)Json數(shù)據(jù)亂碼通過配置的解決

    這篇文章主要介紹了SpringBoot響應(yīng)Json數(shù)據(jù)亂碼通過配置的解決,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-11-11
  • JAVA中尋找最大的K個(gè)數(shù)解法

    JAVA中尋找最大的K個(gè)數(shù)解法

    尋找最大的K個(gè)數(shù),這個(gè)是面試中比較常見的一道題,網(wǎng)上也有很多例子,在這里是比較傳統(tǒng)的解法
    2014-04-04
  • 淺談Java實(shí)體對(duì)象的三種狀態(tài)以及轉(zhuǎn)換關(guān)系

    淺談Java實(shí)體對(duì)象的三種狀態(tài)以及轉(zhuǎn)換關(guān)系

    這篇文章主要介紹了淺談Java實(shí)體對(duì)象的三種狀態(tài)以及轉(zhuǎn)換關(guān)系,具有一定參考價(jià)值,需要的朋友可以,看看。。
    2017-11-11
  • SpringBoot實(shí)戰(zhàn)之實(shí)現(xiàn)結(jié)果的優(yōu)雅響應(yīng)案例詳解

    SpringBoot實(shí)戰(zhàn)之實(shí)現(xiàn)結(jié)果的優(yōu)雅響應(yīng)案例詳解

    這篇文章主要介紹了SpringBoot實(shí)戰(zhàn)之實(shí)現(xiàn)結(jié)果的優(yōu)雅響應(yīng)案例詳解,本篇文章通過簡(jiǎn)要的案例,講解了該項(xiàng)技術(shù)的了解與使用,以下就是詳細(xì)內(nèi)容,需要的朋友可以參考下
    2021-09-09
  • shrio中hashedCredentialsMatcher密碼匹配示例詳解

    shrio中hashedCredentialsMatcher密碼匹配示例詳解

    shrio是一個(gè)輕量級(jí)權(quán)限管理框架,密碼的匹配由框架內(nèi)部完成。密碼是否匹配由接口CredentialsMatcher定義實(shí)現(xiàn)類完成,CredentialsMatcher實(shí)現(xiàn)類有SimpleCredentialsMatcher和HashedCredentialsMatcher兩個(gè)
    2021-10-10
  • java 使用線程做的一個(gè)簡(jiǎn)單的ATM存取款實(shí)例代碼

    java 使用線程做的一個(gè)簡(jiǎn)單的ATM存取款實(shí)例代碼

    線程 Thread 類,和 Runable 接口 比較兩者的特點(diǎn)和應(yīng)用領(lǐng)域.可以,直接繼承線程Thread類。該方法編寫簡(jiǎn)單,可以直接操作線程,適用于單重繼承情況,因而不能在繼承其他類,下面我們來看一個(gè)實(shí)例
    2013-08-08
  • Java獲取PPT內(nèi)容的完整指南

    Java獲取PPT內(nèi)容的完整指南

    在現(xiàn)代企業(yè)和教育環(huán)境中,PowerPoint(PPT)作為一種流行的演示文稿工具,被廣泛應(yīng)用于各種場(chǎng)合,隨著數(shù)字化轉(zhuǎn)型的推進(jìn),越來越多的企業(yè)希望能夠自動(dòng)化處理PPT文件,本文將介紹如何使用Java獲取PPT內(nèi)容,需要的朋友可以參考下
    2024-08-08

最新評(píng)論