SpringBoot3解決跨域請(qǐng)求的方案小結(jié)
在Spring Boot 3中,解決跨域請(qǐng)求(CORS,Cross-Origin Resource Sharing)的問(wèn)題主要有以下幾種方式:
1. 使用@CrossOrigin注解
你可以直接在Controller類或者具體的請(qǐng)求處理方法上使用@CrossOrigin注解來(lái)允許跨域請(qǐng)求。
@RestController @RequestMapping("/user") @CrossOrigin(origins = "*") // 允許所有來(lái)源的請(qǐng)求跨域 public class UserController { // ... }
在這個(gè)例子中,@CrossOrigin注解被添加到了控制器類上,表示這個(gè)控制器下的所有方法都允許來(lái)自http://example.com的GET和POST請(qǐng)求。你也可以將注解添加到特定的方法上,以對(duì)該方法應(yīng)用CORS配置。
2. 全局配置CORS
如果你希望全局配置CORS,而不是在每個(gè)Controller或方法上單獨(dú)配置,你可以創(chuàng)建一個(gè)配置類來(lái)實(shí)現(xiàn)WebMvcConfigurer接口,并重寫(xiě)addCorsMappings方法。
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { // 添加映射路徑 registry.addMapping("/**") .allowedOrigins("*") // 允許哪些域的請(qǐng)求,星號(hào)代表允許所有 .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") // 允許的方法 .allowedHeaders("*") // 允許的頭部設(shè)置 .allowCredentials(true) // 是否發(fā)送cookie .maxAge(168000); // 預(yù)檢間隔時(shí)間 } }
在這個(gè)配置中,addMapping("/**")表示對(duì)所有的路徑都應(yīng)用CORS配置。allowedOrigins("*")表示允許所有來(lái)源的訪問(wèn),這在生產(chǎn)環(huán)境中可能不是最佳實(shí)踐,通常你會(huì)指定具體的域名。allowedMethods定義了允許的HTTP方法,allowedHeaders定義了允許的HTTP頭部,allowCredentials(true)表示是否允許攜帶憑證(cookies, HTTP認(rèn)證及客戶端SSL證明等),maxAge則用于設(shè)置預(yù)檢請(qǐng)求的有效期。
3. 使用Filter實(shí)現(xiàn)CORS
你也可以通過(guò)實(shí)現(xiàn)Filter接口來(lái)自定義CORS處理邏輯。
import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class SimpleCorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "http://example.com"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with"); chain.doFilter(req, res); } @Override public void init(FilterConfig filterConfig) {} @Override public void destroy() {} }
然后需要在配置類中注冊(cè)這個(gè)Filter。
import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<SimpleCorsFilter> corsFilter() { FilterRegistrationBean<SimpleCorsFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new SimpleCorsFilter()); registrationBean.addUrlPatterns("/*"); return registrationBean; } }
4. 使用攔截器(Interceptor)
如果需要更復(fù)雜的CORS邏輯,你可以創(chuàng)建一個(gè)攔截器來(lái)處理CORS請(qǐng)求。攔截器允許你在請(qǐng)求處理之前或之后添加邏輯。
import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CorsInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { response.setHeader("Access-Control-Allow-Origin", "http://example.com"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.setHeader("Access-Control-Allow-Headers", "*"); // 其他CORS相關(guān)的響應(yīng)頭設(shè)置 return true; } }
然后,你需要在配置類中注冊(cè)這個(gè)攔截器:
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private CorsInterceptor corsInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(corsInterceptor).addPathPatterns("/**"); } }
- 當(dāng)設(shè)置
allowedHeaders("*")
時(shí),實(shí)際上瀏覽器會(huì)發(fā)送實(shí)際請(qǐng)求頭而不是*
。出于安全考慮,最好明確指定允許的頭部。 - 在生產(chǎn)環(huán)境中,確保不要過(guò)于寬松地配置CORS,只允許必要的源和方法。
- 如果你的應(yīng)用部署在代理服務(wù)器后面(如Nginx或Apache),可能還需要在代理服務(wù)器上配置CORS。
5. 響應(yīng)體(Response Body)來(lái)設(shè)置CORS
雖然這種方式不如前面提到的幾種方法直接和常用,但在某些特殊場(chǎng)景下,你可能需要手動(dòng)控制響應(yīng)頭來(lái)實(shí)現(xiàn)跨域。
具體實(shí)現(xiàn)時(shí),你可以在Controller的方法中,通過(guò)HttpServletResponse對(duì)象來(lái)設(shè)置Access-Control-Allow-Origin等CORS相關(guān)的HTTP頭。
import javax.servlet.http.HttpServletResponse; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class MyController { @GetMapping("/data") public String getData(HttpServletResponse response) { // 設(shè)置允許跨域的來(lái)源 response.setHeader("Access-Control-Allow-Origin", "http://example.com"); // 設(shè)置允許的方法(GET, POST, PUT, DELETE等) response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); // 設(shè)置允許的頭信息 response.setHeader("Access-Control-Allow-Headers", "*"); // 設(shè)置預(yù)檢請(qǐng)求的有效期 response.setHeader("Access-Control-Max-Age", "3600"); // 返回?cái)?shù)據(jù) return "Data"; } }
需要注意的是,手動(dòng)設(shè)置響應(yīng)頭的方式相對(duì)繁瑣,且容易遺漏某些必要的頭信息,導(dǎo)致CORS配置不完整。因此,在實(shí)際開(kāi)發(fā)中,推薦使用前面提到的方法,它們更為直接且易于管理。
此外,如果你正在使用Spring Security,還需要確保Spring Security的配置不會(huì)阻止跨域請(qǐng)求的處理。在某些情況下,你可能需要在Spring Security的配置中允許特定的CORS請(qǐng)求。
6. 通過(guò)自定義ResponseBodyAdvice
ResponseBodyAdvice是Spring MVC提供的一個(gè)接口,允許你在Controller方法返回響應(yīng)體之前對(duì)其進(jìn)行修改。雖然它本身不是專為CORS設(shè)計(jì)的,但你可以利用它在返回響應(yīng)之前添加CORS相關(guān)的HTTP頭。
下面是一個(gè)簡(jiǎn)單的示例,展示了如何通過(guò)實(shí)現(xiàn)ResponseBodyAdvice
接口來(lái)添加CORS頭:
import org.springframework.core.MethodParameter; import org.springframework.http.MediaType; import org.springframework.http.server.ServerHttpRequest; import org.springframework.http.server.ServerHttpResponse; import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice; import java.lang.reflect.Type; public class CorsResponseBodyAdvice implements ResponseBodyAdvice<Object> { @Override public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) { // 支持所有返回類型 return true; } @Override public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) { // 設(shè)置CORS相關(guān)的HTTP頭 response.getHeaders().set("Access-Control-Allow-Origin", "http://example.com"); response.getHeaders().set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.getHeaders().set("Access-Control-Allow-Headers", "*"); // 如果有需要,還可以設(shè)置其他CORS相關(guān)的頭,比如預(yù)檢請(qǐng)求的有效期等 // 返回原始的body,不做修改 return body; } }
然后,你需要在Spring Boot的配置中注冊(cè)這個(gè)ResponseBodyAdvice
:
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void configureMessageConverters(List<HttpMessageConverter<?>> converters) { // 注冊(cè)你的ResponseBodyAdvice converters.forEach(converter -> { if (converter instanceof MappingJackson2HttpMessageConverter) { ((MappingJackson2HttpMessageConverter) converter).setResponseBodyAdvice(new CorsResponseBodyAdvice()); } }); } }
這種方法的優(yōu)點(diǎn)在于它可以全局地應(yīng)用于所有Controller的響應(yīng),而無(wú)需在每個(gè)Controller或方法上單獨(dú)設(shè)置。然而,它同樣也有一些局限性,比如你可能需要手動(dòng)處理一些CORS的細(xì)節(jié),并且這種方式不如使用Spring提供的CORS支持那么直接和靈活。
在選擇解決方案時(shí),應(yīng)該根據(jù)項(xiàng)目的具體需求和團(tuán)隊(duì)的偏好來(lái)權(quán)衡各種方法的優(yōu)缺點(diǎn)。如果項(xiàng)目中有大量的Controller需要處理跨域請(qǐng)求,并且希望有一個(gè)統(tǒng)一且全局的解決方案,那么使用WebMvcConfigurer或CorsFilter可能是更好的選擇。如果只需要在特定的Controller或方法上處理跨域請(qǐng)求,那么使用@CrossOrigin注解可能更為簡(jiǎn)單直接。
以上就是SpringBoot3解決跨域請(qǐng)求的方案小結(jié)的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot3跨域請(qǐng)求的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
springmvc實(shí)現(xiàn)自定義類型轉(zhuǎn)換器示例
本篇文章主要介紹了springmvc實(shí)現(xiàn)自定義類型轉(zhuǎn)換器示例,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧2017-02-02JDBC用IDEA連接SQLServer數(shù)據(jù)庫(kù)的超實(shí)用教程
JDBC是Java連接數(shù)據(jù)庫(kù)的一種接口,它由各個(gè)數(shù)據(jù)庫(kù)廠商為開(kāi)發(fā)者提供的接口,要使用它需要到相應(yīng)廠商下載對(duì)應(yīng)的jar包,下面這篇文章主要給大家介紹了關(guān)于JDBC用IDEA連接SQLServer數(shù)據(jù)庫(kù)的超實(shí)用教程,需要的朋友可以參考下2023-05-05Spring如何通過(guò)注解存儲(chǔ)和讀取對(duì)象詳解
在Spring中,要想更簡(jiǎn)單的存儲(chǔ)和讀取對(duì)象的核心是使用注解,這篇文章主要給大家介紹了關(guān)于Spring如何通過(guò)注解存儲(chǔ)和讀取對(duì)象的相關(guān)資料,文中通過(guò)實(shí)例代碼介紹的非常詳細(xì),需要的朋友可以參考下2022-07-07簡(jiǎn)單聊聊工作中常用的Java?Lambda表達(dá)式
日常開(kāi)發(fā)中,我們很多時(shí)候需要用到Java?8的Lambda表達(dá)式,它允許把函數(shù)作為一個(gè)方法的參數(shù),讓我們的代碼更優(yōu)雅、更簡(jiǎn)潔。所以整理了一波工作中常用的Lambda表達(dá)式??赐暌欢〞?huì)有幫助的2022-11-11詳解mybatis-plus配置找不到Mapper接口路徑的坑
這篇文章主要介紹了詳解mybatis-plus配置找不到Mapper接口路徑的坑,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2020-10-10MyBatis常用標(biāo)簽以及使用技巧總結(jié)
在我們的學(xué)習(xí)過(guò)程中,我們經(jīng)常使用到mybatis,這篇文章主要給大家介紹了關(guān)于MyBatis常用標(biāo)簽以及使用技巧的相關(guān)資料,需要的朋友可以參考下2021-05-05