欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java服務(wù)端如何解決跨域問題?CORS請求頭方式

 更新時間:2022年11月23日 12:01:59   作者:弱水提滄  
這篇文章主要介紹了Java服務(wù)端如何解決跨域問題?CORS請求頭方式,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教

Java服務(wù)端解決跨域 CORS請求頭

最近與前端進(jìn)行本地聯(lián)調(diào)時,發(fā)生了跨域的問題,無法訪問我的服務(wù)端地址,使用了以下的方式進(jìn)行了解決。

解決方法

通過fileter中寫入ACCESS-Control-Allow的頭信息,進(jìn)行跨域訪問,代碼如下:

public class CrossDomainFilter implements Filter{
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}
 
	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {    
        //設(shè)置跨域請求  
        HttpServletResponse response = (HttpServletResponse) res; 
        //此處ip地址為需要訪問服務(wù)器的ip及端口號
        response.setHeader("Access-Control-Allow-Origin", "http://192.168.1.1:8080");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type,Token,Accept, Connection, User-Agent, Cookie");
        response.setHeader("Access-Control-Max-Age", "3628800");   
  
        System.out.println("設(shè)置跨域請求");  
        chain.doFilter(req, response);    
    }
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
	}
}

其中

  • "Access-Control-Allow-Origin"表示的是訪問服務(wù)端的ip地址及端口號,也可以設(shè)置為*表示所有域都可以通過;
  • "Access-Control-Allow-Credentials"表示的是跨域的ajax中可以攜帶cookie,此時第一項(xiàng)設(shè)置不能為*,需指定域名;
  • "Access-Control-Allow-Methods"表示的是允許跨域的請求方法;
  • "Access-Control-Allow-Headers"表示的是允許跨域請求包含content-type頭;
  • "Access-Control-Allow-Max-Age"表示的是在3628800秒內(nèi),不需要再發(fā)送預(yù)檢驗(yàn)請求,可以緩存該結(jié)果,一般默認(rèn)。

寫完filter別忘記配置web.xml,其代碼如下:

??? ?<!-- 跨域設(shè)置 -->
?? ?<filter>
?? ??? ?<filter-name>crossFilter</filter-name>
?? ??? ?<filter-class>com.chinamobile.bcop.console.security.filter.CrossDomainFilter</filter-class>
?? ?</filter>
?? ?<filter-mapping>
?? ??? ?<filter-name>crossFilter</filter-name>
?? ??? ?<url-pattern>/*</url-pattern>
?? ?</filter-mapping>

在調(diào)試的過程中,如果出現(xiàn)錯誤,可以看看自己的Access-Control-Allow-Headers是否有加全,通過以上方法就可以實(shí)現(xiàn)跨域了。

CORS解決跨域的幾種實(shí)現(xiàn)方式

一、什么是跨域

當(dāng)一個請求的url的協(xié)議、域名、端口任意一個與當(dāng)前頁面的url不同即為跨域

a頁面想獲取b頁面的資源,a與b頁面的協(xié)議、域名或端口號不同,進(jìn)行的訪問行為都是跨域,由于瀏覽器的同源策略,會限制跨域請求資源。

當(dāng)前頁url請求url是否為跨域
http://test.com/http://test.com/show.html否(同源)
http://www.test.com/https://www.test.com/index.html跨域 協(xié)議不同 http/https
http://www.test.com/http://www.baidu.com/跨域 主域名不同(test/baidu)
http://www.test.com:8080/http://www.test.com:7001/跨域 端口號不同(8080/7001)

二、同源策略

同源策略(Same origin policy)是一種約定,它是瀏覽器最核心也最基本的安全功能,如果缺少了同源策略,則瀏覽器的正常功能可能都會受到影響??梢哉fWeb是構(gòu)建在同源策略基礎(chǔ)之上的,瀏覽器只是針對同源策略的一種實(shí)現(xiàn)。

同源政策由 Netscape 公司引入瀏覽器。目前,所有瀏覽器都實(shí)行這個政策。最初,它的含義是指,A網(wǎng)頁設(shè)置的 Cookie,B網(wǎng)頁不能打開,除非這兩個網(wǎng)頁"同源"。所謂"同源"指的是"三個相同":

  • 協(xié)議相同
  • 域名相同
  • 端口相同

同源策略確保一個應(yīng)用中的資源只能被本應(yīng)用的資源訪問。

非同源限制

  • cookie、localStorage、indexDB無法讀取
  • DOM和js對象無法獲取
  • 無法發(fā)送Ajax請求

三、跨域的解決辦法

瀏覽器的同源策略,幫我們解決了很多安全性的問題

與此同時,同源策略帶來的問題,A頁面想要獲取B頁面的資源怎么辦?

  • CORS
  • CORS(Cross-Origin Resource Sharing)是一個W3C標(biāo)準(zhǔn),全稱“跨域資源共享”

整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。對于開發(fā)者來說,CORS通信與同源的AJAX通信沒有差別,代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請求跨源,就會自動添加一些附加的頭信息,有時還會多出一次附加的請求,但用戶不會有感覺

它允許瀏覽器向跨域服務(wù)器,發(fā)出XMLHttpRequest請求,從而解決Ajax只能同源使用的限制

3.1、兩種請求

瀏覽器將cors請求分為兩類:簡單請求和非簡單請求

只要同時滿足以下條件,就屬于簡單請求

1、請求方法為以下三種之一

  • HEAD
  • GET
  • POST

2、HTTP的頭信息不超出以下幾種字段

  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID

Content-type 只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不滿足以上條件,就屬于非簡單請求

3.1.1、簡單請求

對于簡單請求,瀏覽器直接發(fā)送請求。在請求頭信息中,添加一個Origin字段,Origin字段用來說明,本次請求來自哪個源(協(xié)議 + 域名 + 端口)。服務(wù)器根據(jù)這個值,決定是否同意這次請求

Origin: http://localhost:8083

服務(wù)端處理

添加相應(yīng)響應(yīng)頭信息

  • Access-Control-Allow-Origin: http://localhost:8083 該字段是必須的。它的值要么是請求時Origin字段的值,要么是一個*,表示接受任意域名的請求?
  • Access-Control-Expose-Headers 該字段可選。CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必須在Access-Control-Expose-Headers里面指定。上面的例子指定,getResponseHeader('FooBar')可以返回FooBar字段的值?
  • Access-Control-Allow-Credentials: true該字段可選。它的值是一個布爾值,表示是否允許發(fā)送Cookie。默認(rèn)情況下,Cookie不包括在CORS請求之中。設(shè)為true,即表示服務(wù)器明確許可,Cookie可以包含在請求中,一起發(fā)給服務(wù)器。這個值也只能設(shè)為true,如果服務(wù)器不要瀏覽器發(fā)送Cookie,刪除該字段即可

CORS請求默認(rèn)不發(fā)送Cookie數(shù)據(jù),如果要傳送cookie數(shù)據(jù),則需在前端Ajax請求中打開withCredentials屬性

需要注意的是,如果要發(fā)送Cookie,Access-Control-Allow-Origin就不能設(shè)為星號,必須指定明確的、與請求網(wǎng)頁一致的域名

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

3.1.2、非簡單請求

預(yù)檢請求

  • 非簡單請求是那種對服務(wù)器有特殊要求的請求,比如請求方法是PUT或DELETE,或者Content-Type字段的類型是application/json。
  • 非簡單請求的CORS請求,會在正式通信之前,增加一次HTTP查詢請求,稱為"預(yù)檢"請求(preflight)
  • 瀏覽器先詢問服務(wù)器,當(dāng)前網(wǎng)頁所在的域名是否在服務(wù)器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復(fù),瀏覽器才會發(fā)出正式的XMLHttpRequest請求,否則就報錯。

服務(wù)端處理

  • Access-Control-Allow-Methods該字段必需,它的值是逗號分隔的一個字符串,表明服務(wù)器支持的所有跨域請求的方法。注意,返回的是所有支持的方法,而不單是瀏覽器請求的那個方法。這是為了避免多次"預(yù)檢"請求。?
  • Access-Control-Allow-Headers如果瀏覽器請求包括Access-Control-Request-Headers字段,則Access-Control-Allow-Headers字段是必需的。它也是一個逗號分隔的字符串,表明服務(wù)器支持的所有頭信息字段,不限于瀏覽器在"預(yù)檢"中請求的字段。?
  • Access-Control-Allow-Credentials該字段與簡單請求時的含義相同。?
  • Access-Control-Max-Age:1728000 該字段可選,用來指定本次預(yù)檢請求的有效期,單位為秒。上面結(jié)果中,有效期是20天(1728000秒),即允許緩存該條回應(yīng)1728000秒(即20天),在此期間,不用發(fā)出另一條預(yù)檢請求。

3.2、CORS常用解決跨域的方法

前端發(fā)送Ajax請求

    $("#test").click(function(){
        $.ajax({
            url : "http://localhost:8084/show.cors",
            type : "GET",
            success : function(result){
                // alert(result);
                console.log(result)
            }
        })
    })

3.2.1、HttpServletResponse添加頭信息

@RestController
public class CorsController {
?
    @RequestMapping(value = "/look.cors")
    public String look(HttpServletResponse response){
        response.addHeader("Access-Control-Allow-Origin","http://localhost:8083");
        //response.addHeader("Access-Control-Allow-Credentials","true");
        return "hello cors";
    }
    
}

3.2.2、使用Spring注解@CrossOrigin

@RestController
public class CorsController2 {
?
    @RequestMapping(value = "/show.cors")
    @CrossOrigin(origins = "http://localhost:8083")
    /*  @CrossOrigin    也可配置在類上
        屬性:
        methods     表明服務(wù)器支持的跨域請求的方法
        maxAge      預(yù)檢的有效期
    */
    public String show(){
        return "hello cors";
    }
}

3.2.3、通過配置類解決跨域

使用HttpServletResponse對象或注解方式,需要在每個需要跨域的方法上都加上相應(yīng)的注解或參數(shù),我們想讓所有的controller都添加跨域功能,我們可以通過實(shí)現(xiàn)WebMvcConfigurer接口來自定義跨域配置

WebMvcConfigurer是一個接口,提供很多自定義的攔截器,例如跨域設(shè)置、類型轉(zhuǎn)化器等springMVC的配置

@Configuration
public class CorsConfig implements WebMvcConfigurer {
?
    /**
     * **addMapping**:配置可以被跨域的路徑,可以任意配置,可以具體到直接請求路徑。
     *
     * **allowedMethods**:允許所有的請求方法訪問該跨域資源服務(wù)器,如:POST、GET、PUT、DELETE等。
     *
     * **allowedOrigins**:允許所有的請求域名訪問我們的跨域資源,可以固定單條或者多條內(nèi)容,如:”[http://www.aaa.com](http://www.aaa.com/)“,只有該域名可以訪問我們的跨域資源。
     *
     * **allowedHeaders**:允許所有的請求header訪問,可以自定義設(shè)置任意請求頭信息。
     
     * @param registry
     */
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*.cors")
                .allowedOrigins("http://localhost:8083")
                .allowedMethods("POST","GET")
                .maxAge(1000);
    }
}

以上為個人經(jīng)驗(yàn),希望能給大家一個參考,也希望大家多多支持腳本之家。

相關(guān)文章

最新評論