跨域(Cross-Origin Resource Sharing, CORS)是指在浏览器中,当一个资源的请求来自于不同于该资源所在域的域时,这个请求就被称为跨域请求。出于安全考虑,浏览器默认会限制跨域请求,以防止恶意网站通过脚本窃取用户的敏感信息。
常见的跨域处理方法包括:
-
JSONP(JSON with Padding):利用
<script>标签的src属性不受同源策略限制的特性,通过动态创建<script>标签来加载跨域资源。这种方法只支持 GET 请求。 -
CORS 头设置:服务器在响应头中设置
Access-Control-Allow-Origin等 CORS 相关的头信息,允许特定的域进行跨域访问。这是现代浏览器支持的最常用方法。 -
代理服务器:在同域的服务器上设置一个代理,前端请求同域的代理服务器,然后代理服务器再去请求跨域的资源,这样就绕过了浏览器的同源策略限制。
-
WebSocket:WebSocket 协议不受同源策略限制,可以实现跨域通信。
在 Spring Boot 中处理跨域请求,可以通过以下几种方式:
- 全局配置:使用
@CrossOrigin注解在控制器类或方法上进行配置,或者通过实现WebMvcConfigurer接口来全局配置跨域。
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(3600);
}
}
- 局部配置:在特定的控制器方法上使用
@CrossOrigin注解。
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class MyController {
@CrossOrigin(origins = "http://example.com")
@GetMapping("/my-resource")
public String myResource() {
return "Hello, World!";
}
}
- 过滤器配置:通过自定义过滤器来设置 CORS 头。
import org.springframework.stereotype.Component;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
@Component
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-Requested-With");
chain.doFilter(req, res);
}
@Override
public void init(FilterConfig filterConfig) {}
@Override
public void destroy() {}
}
以上方法可以根据具体需求选择使用,以实现对跨域请求的处理。
