什么是CORS

跨域(CORS)请求:同源策略/SOP(Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。所谓同源是指 "协议+域名+端口" 三者相同, 不同源则跨域。

如果还想了解更多,下面这两个文档更加详细的介绍了CORS

CORS 参考链接https://developer.mozilla.org/zh-CN/docs/Glossary/CORS

关于HTTP请求分类参考https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS

SpringBoot 全局配置CORS

添加一个 WebMvc 的配置类,在没有过滤器和拦截器的情况下是ok了。

我这里还配置了一个拦截器,HTTP的预检请求会经过拦截器,我就直接在拦截器里面对预检请求进行处理。(如果配置了过滤器可以在过滤器中进行处理,因为过滤器比拦截器更早经过)

package com.pro.config;

import com.pro.interceptor.BaseInterceptor;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.CorsRegistry;

import org.springframework.web.servlet.config.annotation.InterceptorRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**

 * 扩展 Web MVC

 */

@Configuration

public class WebMvcConfig implements WebMvcConfigurer {

    private static final String[] whiteList = {"/admin/login", "/admin/logout"};

    @Autowired

    BaseInterceptor baseInterceptor;

    /**

     * 配置拦截器

     * @param registry

     */

    @Override

    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(baseInterceptor).excludePathPatterns(whiteList);

    }

    /**

     * 配置跨域请求

     * @param registry

     */

    @Override

    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/**")

                //设置允许跨域请求的域名

                .allowedOriginPatterns("*")

                // 设置允许请求方式

                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS", "HEAD")

                // 是否允许证书(cookies)

                .allowCredentials(true)

                // 预请求的结果能被缓存多久

                .maxAge(3600)

                // 设置允许的请求头

                .allowedHeaders("*");

    }

}

拦截器处理预检请求

直接在拦截器里面对预检请求进行处理,处理方法就是这个方法 responseCors

核心处理逻辑

/**

 * 请求方法执行之前

 * @param request

 * @param response

 * @param handler

 * @return

 * @throws Exception

 */

@Override

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

	// 在进入这个拦截器之前,对跨域提供支持

	if (responseCors(response, request)) {

	    return false;

	}

	return true;

}

/**

 * 在进入这个拦截器之前, 对跨域提供支持

 * @param response

 * @param request

 * @return

 */

private boolean responseCors(HttpServletResponse response, HttpServletRequest request) {

	// 判断是否是预检请求

    if (RequestMethod.OPTIONS.name().equals(request.getMethod())) {

        response.setHeader("Cache-Control","no-cache");

        response.setHeader("Access-control-Allow-Origin", "*");

        response.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");

        response.setHeader("Access-Control-Allow-Headers", "*");

        // 跨域时会首先发送一个OPTIONS请求,这里我们给OPTIONS请求直接返回正常状态

        response.setStatus(HttpStatus.OK.value());

        return true;

    }

    return false;

}

完整拦截器代码

package com.pro.interceptor;

import com.pro.constant.ErrorConstant;

import com.pro.utils.*;

import com.pro.vo.user.UserInfoVO;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.http.HttpStatus;

import org.springframework.stereotype.Component;

import org.springframework.web.bind.annotation.RequestMethod;

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

/**

 * 自定义拦截器

 */

@Component

public class BaseInterceptor implements HandlerInterceptor {

    private static final Logger LOGGER = LoggerFactory.getLogger(BaseInterceptor.class);

    private static final String USER_AGENT = "user-agent";

    // 后台管理请求接口白名单前缀

    private final String[] whiteListPrefix = {"/admin/login", "/admin/css", "/admin/js", "/admin/plugins", "/admin/editormd", "/admin/images"};

    @Autowired

    private RedisUtil redisUtil;

    /**

     * 请求方法执行之前

     * @param request

     * @param response

     * @param handler

     * @return

     * @throws Exception

     */

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        // 在进入这个拦截器之前,对跨域提供支持

        if (responseCors(response, request)) {

            return false;

        }

        // 获取用户访问的路由

        String uri = request.getRequestURI();

        LOGGER.info("UserAgent: {}", request.getHeader(USER_AGENT));

        LOGGER.info("用户访问地址: {}, 来源地址: {}", uri, IPKit.getIpAddrByRequest(request));

        // 获取登录用户同时刷新用户过期时间

        UserInfoVO user = redisUtil.getLoginUser(request, true);

        // 请求拦截

        if (uri.startsWith("/admin") && user == null && verifyUriPrefix(uri)) {

            this.responseResult(response);

            return false;

        }

        return true;

    }

    /**

     * 验证 uri 是否在白名单中

     * @param uri 统一资源标志符/路由

     * @return boolean

     */

    private boolean verifyUriPrefix(String uri) {

        if (uri == null) return false;

        for (String prefix : whiteListPrefix) {

            // 判断 uri 是否以白名单的前缀开头

            if (uri.startsWith(prefix)) {

                return false;

            }

        }

        return true;

    }

    /**

     * 用户未登录 使用 response 返回结果

     * @param response

     * @throws IOException

     */

    private void responseResult(HttpServletResponse response) throws IOException {

        response.setCharacterEncoding("UTF-8");

        response.setContentType("application/json; charset=utf-8");

        response.getWriter().println(JsonKit.toJSON(Result.fail(401, ErrorConstant.Auth.NOT_LOGIN)));

    }

    /**

     * 在进入这个拦截器之前, 对跨域提供支持

     * @param response

     * @param request

     * @return

     */

    private boolean responseCors(HttpServletResponse response, HttpServletRequest request) {

        if (RequestMethod.OPTIONS.name().equals(request.getMethod())) {

            response.setHeader("Cache-Control","no-cache");

            response.setHeader("Access-control-Allow-Origin", "*");

            response.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,PUT,DELETE");

            response.setHeader("Access-Control-Allow-Headers", "*");

            // 跨域时会首先发送一个OPTIONS请求,这里我们给OPTIONS请求直接返回正常状态

            response.setStatus(HttpStatus.OK.value());

            return true;

        }

        return false;

    }

}

SpringBoot添加Cors跨域配置,解决No 'Access-Control-Allow-Origin' header is present on the requested resource的更多相关文章

  1. SpringBoot添加CORS跨域

    配置CORSConfiguration 添加CORS的配置信息,我们创建一个CORSConfiguration配置类重写如下方法,如图所示: @Override public void addCors ...

  2. (转)AJax跨域:No 'Access-Control-Allow-Origin' header is present on the requested resource

    在本地用ajax跨域访问请求时报错: No 'Access-Control-Allow-Origin' header is present on the requested resource. Ori ...

  3. 跨域原因及SpringBoot、Nginx跨域配置

    目录 概述 简单请求 跨域解决方案 概述 SpringBoot跨域配置 Nginx跨域配置 概述 MDN文档 Cross-Origin Resource Sharing (CORS) 跨域的英文是Cr ...

  4. As.net WebAPI CORS, 开启跨源访问,解决错误No 'Access-Control-Allow-Origin' header is present on the requested resource

    默认情况下ajax请求是有同源策略,限制了不同域请求的响应. 例子:http://localhost:23160/HtmlPage.html 请求不同源API http://localhost:228 ...

  5. 解决跨域No 'Access-Control-Allow-Origin' header is present on the requested resource.

    用angular发起http.get(),访问后端web API要数据,结果chrome报错:跨域了 Access to XMLHttpRequest at 'http://127.0.0.1:300 ...

  6. Webapi 跨域 解决解决错误No 'Access-Control-Allow-Origin' header is present on the requested resource 问题

    首先是web端(http://localhost:53784) 请求 api(http://localhost:81/api/)时出现错误信息: 查看控制台会发现错误:XMLHttpRequest c ...

  7. java、ajax 跨域请求解决方案('Access-Control-Allow-Origin' header is present on the requested resource. Origin '请求源' is therefore not allowed access.)

      1.情景展示 ajax调取java服务器请求报错 报错信息如下: 'Access-Control-Allow-Origin' header is present on the requested ...

  8. .Net Core 处理跨域问题Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource

    网页请求报错: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Or ...

  9. js跨域访问,No 'Access-Control-Allow-Origin' header is present on the requested resource

    js跨域访问提示错误:XMLHttpRequest cannot load http://...... No 'Access-Control-Allow-Origin' header is prese ...

随机推荐

  1. vue根据变量值绑定src的路径

    路径必须用require包裹起来才会起作用

  2. Python3中列表、字典、元组、集合的看法

    文首,我先强调一下我是一个弱鸡码农,这个随笔是在我学习完Python3中的元组.字典.列表,集合这四种常见数据的数据类型的一些感想,如果有什么不对的地方欢迎大家予以指正.谢谢大家啦 回归正题:这篇随笔 ...

  3. Java IO学习笔记八:Netty入门

    作者:Grey 原文地址:Java IO学习笔记八:Netty入门 多路复用多线程方式还是有点麻烦,Netty帮我们做了封装,大大简化了编码的复杂度,接下来熟悉一下netty的基本使用. Netty+ ...

  4. VBS脚本编程(2)——运算符

    算数运算符 用于执行数学计算的运算符. 1.加法运算符( + ) 计算两个数之和. 2.减法运算符( - ) 计算两个数值的差或表示数值表达式的负值. 3.乘法运算符(*) 计算两个数之积. 4.除法 ...

  5. 玩转STM32MP157- 在应用层中使用 fbtft

    fbtft使用的是framebuffer框架,这种框架将显示设备抽象为帧缓冲区,对framebuffer设备(/dev/fbx(0.1.2..))进行相关操作可以反应到LCD上. 现在尝试下在用户空间 ...

  6. Linux中curl的用法

    一.简介:在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具,是一款强大的http命令行工具.支持文件的上传和下载,是综合传输工具. 二.语法:curl [option] [url ...

  7. uniapp uni.navigateTo 传值传对象

    uni.navigateTo({ url: '/pages/details?obj='+ encodeURIComponent(JSON.stringify(item)) }); 接收: onLoad ...

  8. 使用RSA和DES保护的Socket通信

    基本要求:将DES加密算法应用于网络通信,使用RSA算法自动分配密钥,设计好界面,可验证自动生成的密钥和加解密正确的结果. 具体实现要求:客户端和服务器建立连接后,客户端生成一个随机DES密钥;服务器 ...

  9. AcWing 105. 七夕祭

    七夕节因牛郎织女的传说而被扣上了「情人节」的帽子. 于是TYVJ今年举办了一次线下七夕祭. Vani同学今年成功邀请到了cl同学陪他来共度七夕,于是他们决定去TYVJ七夕祭游玩. TYVJ七夕祭和11 ...

  10. CentOS-Docker安装PostgreSQL(单点)

    下载镜像 $ docker pull postgres 创建目录 $ mkdir -p /usr/postgres/data $ chmod -R 755 /usr/postgres/data 运行镜 ...