SpringBoot3解決跨域請求的方案小結(jié)
在Spring Boot 3中,解決跨域請求(CORS,Cross-Origin Resource Sharing)的問題主要有以下幾種方式:
1. 使用@CrossOrigin注解
你可以直接在Controller類或者具體的請求處理方法上使用@CrossOrigin注解來允許跨域請求。
@RestController @RequestMapping("/user") @CrossOrigin(origins = "*") // 允許所有來源的請求跨域 public class UserController { // ... }
在這個例子中,@CrossOrigin注解被添加到了控制器類上,表示這個控制器下的所有方法都允許來自http://example.com的GET和POST請求。你也可以將注解添加到特定的方法上,以對該方法應(yīng)用CORS配置。
2. 全局配置CORS
如果你希望全局配置CORS,而不是在每個Controller或方法上單獨(dú)配置,你可以創(chuàng)建一個配置類來實(shí)現(xiàn)WebMvcConfigurer接口,并重寫addCorsMappings方法。
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { // 添加映射路徑 registry.addMapping("/**") .allowedOrigins("*") // 允許哪些域的請求,星號代表允許所有 .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") // 允許的方法 .allowedHeaders("*") // 允許的頭部設(shè)置 .allowCredentials(true) // 是否發(fā)送cookie .maxAge(168000); // 預(yù)檢間隔時間 } }
在這個配置中,addMapping("/**")表示對所有的路徑都應(yīng)用CORS配置。allowedOrigins("*")表示允許所有來源的訪問,這在生產(chǎn)環(huán)境中可能不是最佳實(shí)踐,通常你會指定具體的域名。allowedMethods定義了允許的HTTP方法,allowedHeaders定義了允許的HTTP頭部,allowCredentials(true)表示是否允許攜帶憑證(cookies, HTTP認(rèn)證及客戶端SSL證明等),maxAge則用于設(shè)置預(yù)檢請求的有效期。
3. 使用Filter實(shí)現(xiàn)CORS
你也可以通過實(shí)現(xiàn)Filter接口來自定義CORS處理邏輯。
import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class SimpleCorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "http://example.com"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with"); chain.doFilter(req, res); } @Override public void init(FilterConfig filterConfig) {} @Override public void destroy() {} }
然后需要在配置類中注冊這個Filter。
import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<SimpleCorsFilter> corsFilter() { FilterRegistrationBean<SimpleCorsFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new SimpleCorsFilter()); registrationBean.addUrlPatterns("/*"); return registrationBean; } }
4. 使用攔截器(Interceptor)
如果需要更復(fù)雜的CORS邏輯,你可以創(chuàng)建一個攔截器來處理CORS請求。攔截器允許你在請求處理之前或之后添加邏輯。
import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CorsInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { response.setHeader("Access-Control-Allow-Origin", "http://example.com"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.setHeader("Access-Control-Allow-Headers", "*"); // 其他CORS相關(guān)的響應(yīng)頭設(shè)置 return true; } }
然后,你需要在配置類中注冊這個攔截器:
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private CorsInterceptor corsInterceptor; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(corsInterceptor).addPathPatterns("/**"); } }
- 當(dāng)設(shè)置
allowedHeaders("*")
時,實(shí)際上瀏覽器會發(fā)送實(shí)際請求頭而不是*
。出于安全考慮,最好明確指定允許的頭部。 - 在生產(chǎn)環(huán)境中,確保不要過于寬松地配置CORS,只允許必要的源和方法。
- 如果你的應(yīng)用部署在代理服務(wù)器后面(如Nginx或Apache),可能還需要在代理服務(wù)器上配置CORS。
5. 響應(yīng)體(Response Body)來設(shè)置CORS
雖然這種方式不如前面提到的幾種方法直接和常用,但在某些特殊場景下,你可能需要手動控制響應(yīng)頭來實(shí)現(xiàn)跨域。
具體實(shí)現(xiàn)時,你可以在Controller的方法中,通過HttpServletResponse對象來設(shè)置Access-Control-Allow-Origin等CORS相關(guān)的HTTP頭。
import javax.servlet.http.HttpServletResponse; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class MyController { @GetMapping("/data") public String getData(HttpServletResponse response) { // 設(shè)置允許跨域的來源 response.setHeader("Access-Control-Allow-Origin", "http://example.com"); // 設(shè)置允許的方法(GET, POST, PUT, DELETE等) response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); // 設(shè)置允許的頭信息 response.setHeader("Access-Control-Allow-Headers", "*"); // 設(shè)置預(yù)檢請求的有效期 response.setHeader("Access-Control-Max-Age", "3600"); // 返回?cái)?shù)據(jù) return "Data"; } }
需要注意的是,手動設(shè)置響應(yīng)頭的方式相對繁瑣,且容易遺漏某些必要的頭信息,導(dǎo)致CORS配置不完整。因此,在實(shí)際開發(fā)中,推薦使用前面提到的方法,它們更為直接且易于管理。
此外,如果你正在使用Spring Security,還需要確保Spring Security的配置不會阻止跨域請求的處理。在某些情況下,你可能需要在Spring Security的配置中允許特定的CORS請求。
6. 通過自定義ResponseBodyAdvice
ResponseBodyAdvice是Spring MVC提供的一個接口,允許你在Controller方法返回響應(yīng)體之前對其進(jìn)行修改。雖然它本身不是專為CORS設(shè)計(jì)的,但你可以利用它在返回響應(yīng)之前添加CORS相關(guān)的HTTP頭。
下面是一個簡單的示例,展示了如何通過實(shí)現(xiàn)ResponseBodyAdvice
接口來添加CORS頭:
import org.springframework.core.MethodParameter; import org.springframework.http.MediaType; import org.springframework.http.server.ServerHttpRequest; import org.springframework.http.server.ServerHttpResponse; import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice; import java.lang.reflect.Type; public class CorsResponseBodyAdvice implements ResponseBodyAdvice<Object> { @Override public boolean supports(MethodParameter returnType, Class<? extends HttpMessageConverter<?>> converterType) { // 支持所有返回類型 return true; } @Override public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType, Class<? extends HttpMessageConverter<?>> selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) { // 設(shè)置CORS相關(guān)的HTTP頭 response.getHeaders().set("Access-Control-Allow-Origin", "http://example.com"); response.getHeaders().set("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); response.getHeaders().set("Access-Control-Allow-Headers", "*"); // 如果有需要,還可以設(shè)置其他CORS相關(guān)的頭,比如預(yù)檢請求的有效期等 // 返回原始的body,不做修改 return body; } }
然后,你需要在Spring Boot的配置中注冊這個ResponseBodyAdvice
:
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void configureMessageConverters(List<HttpMessageConverter<?>> converters) { // 注冊你的ResponseBodyAdvice converters.forEach(converter -> { if (converter instanceof MappingJackson2HttpMessageConverter) { ((MappingJackson2HttpMessageConverter) converter).setResponseBodyAdvice(new CorsResponseBodyAdvice()); } }); } }
這種方法的優(yōu)點(diǎn)在于它可以全局地應(yīng)用于所有Controller的響應(yīng),而無需在每個Controller或方法上單獨(dú)設(shè)置。然而,它同樣也有一些局限性,比如你可能需要手動處理一些CORS的細(xì)節(jié),并且這種方式不如使用Spring提供的CORS支持那么直接和靈活。
在選擇解決方案時,應(yīng)該根據(jù)項(xiàng)目的具體需求和團(tuán)隊(duì)的偏好來權(quán)衡各種方法的優(yōu)缺點(diǎn)。如果項(xiàng)目中有大量的Controller需要處理跨域請求,并且希望有一個統(tǒng)一且全局的解決方案,那么使用WebMvcConfigurer或CorsFilter可能是更好的選擇。如果只需要在特定的Controller或方法上處理跨域請求,那么使用@CrossOrigin注解可能更為簡單直接。
以上就是SpringBoot3解決跨域請求的方案小結(jié)的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot3跨域請求的資料請關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
springmvc實(shí)現(xiàn)自定義類型轉(zhuǎn)換器示例
本篇文章主要介紹了springmvc實(shí)現(xiàn)自定義類型轉(zhuǎn)換器示例,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧2017-02-02JDBC用IDEA連接SQLServer數(shù)據(jù)庫的超實(shí)用教程
JDBC是Java連接數(shù)據(jù)庫的一種接口,它由各個數(shù)據(jù)庫廠商為開發(fā)者提供的接口,要使用它需要到相應(yīng)廠商下載對應(yīng)的jar包,下面這篇文章主要給大家介紹了關(guān)于JDBC用IDEA連接SQLServer數(shù)據(jù)庫的超實(shí)用教程,需要的朋友可以參考下2023-05-05- 日常開發(fā)中,我們很多時候需要用到Java?8的Lambda表達(dá)式,它允許把函數(shù)作為一個方法的參數(shù),讓我們的代碼更優(yōu)雅、更簡潔。所以整理了一波工作中常用的Lambda表達(dá)式??赐暌欢〞袔椭?/div> 2022-11-11
詳解mybatis-plus配置找不到Mapper接口路徑的坑
這篇文章主要介紹了詳解mybatis-plus配置找不到Mapper接口路徑的坑,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2020-10-10MyBatis常用標(biāo)簽以及使用技巧總結(jié)
在我們的學(xué)習(xí)過程中,我們經(jīng)常使用到mybatis,這篇文章主要給大家介紹了關(guān)于MyBatis常用標(biāo)簽以及使用技巧的相關(guān)資料,需要的朋友可以參考下2021-05-05最新評論