一、什么是跨域问题
1、什么是同源:同源是指访问同一个域名、协议和端口号。
2、什么是跨域:协议、域名、端口号任意一个不同就会出现跨域问题。
3、为什么要限制跨域:同源策略的目的在于保护用户隐私,防止恶意网站窃取数据。
二、SpringBoot如何解决跨域
SpringBoot在使用时,可以使用注解进行跨域解决。比如使用@CrossOrigin注解来解决跨域问题。
@CrossOrigin(origins = "*", maxAge = 3600)
@GetMapping("/test")
public String test(){
return "test";
}
代码解析:
@CrossOrigin注解允许来自所有源的访问,同时有效期设定为3600秒。
origins参数是一个字符串数组类型,表示允许访问的源(CORS标准,即Cross-Origin Resource Sharing,中文名为跨源资源共享)。如果使用 * 作为通配符则允许任意源访问。
maxAge参数表示在指定时间内不需要再发起预检验请求(OPTIONS)。
三、全局配置跨域
可以在SpringBoot的Web配置类中进行全局跨域配置。
@Configuration
public class CorsConfiguration implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("*")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(3600);
}
}
代码解析:
CorsRegistry是Spring提供的一个对象,可以配置跨域策略。
addMapping方法表示拦截所有路径。
allowedOrigins方法表示允许的源。
allowedMethods方法表示允许的请求方法。
allowedHeaders方法表示允许的请求头。
allowCredentials方法表示是否可以将响应头暴露给前端。
maxAge方法表示有效期时间。
四、拦截器解决跨域
使用拦截器可以在请求到达Controller之前进行跨域的处理。
@Component
public class CorsInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Headers", "*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "*");
response.setHeader("Access-Control-Max-Age", "3600");
return true;
}
}
代码解析:
继承自HandlerInterceptor的CorsInterceptor,实现了preHandle方法,该方法是在请求到达Controller之前进行的操作。
设置响应头信息Access-Control-Allow-Origin表示允许的源。
设置响应头信息Access-Control-Allow-Headers表示允许的请求头。
设置响应头信息Access-Control-Allow-Credentials表示是否可以将响应头暴露给前端。
设置响应头信息Access-Control-Allow-Methods表示允许的请求方法。
设置响应头信息Access-Control-Max-Age表示有效期时间。
五、使用Filter实现跨域解决
Filter是javax.servlet提供的一个过滤器接口,可以使用Filter来实现对请求进行过滤和响应处理。
@Component
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Headers", "*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "*");
response.setHeader("Access-Control-Max-Age", "3600");
chain.doFilter(req, res);
}
}
代码解析:
实现Filter接口,实现doFilter方法进行操作。
HttpServletRequest和HttpServletResponse是javax.servlet提供的请求和响应对象。
设置响应头信息Access-Control-Allow-Origin表示允许的源。
设置响应头信息Access-Control-Allow-Headers表示允许的请求头。
设置响应头信息Access-Control-Allow-Credentials表示是否可以将响应头暴露给前端。
设置响应头信息Access-Control-Allow-Methods表示允许的请求方法。
设置响应头信息Access-Control-Max-Age表示有效期时间。
六、总结
以上是SpringBoot解决跨域问题的多种方式,开发者可以根据自己的需要选择合适的解决方案。