跨域问题(Allow CORS)解决(3 种方法)

原创 于 2025-07-07 08:36:29 发布 · 879 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #java #后端 #spring boot

跨域问题(Allow CORS)解决(3 种方法)

文章目录

跨域问题:浏览器为了用户的安全,仅允许向同域,同端口的服务器发送请求。

浏览器在发送请求的时候,会发送一个预检请求(一般请求方法是: options)。作用:提前探探路,是否符合同域策略什么的

解决方式:

  1. 把域名,端口改为相同
  2. 网关支持

让服务器告诉浏览器:允许跨域(返回 cross-orign-allow 响应头),就是在请求头当中,告诉浏览器这个是安全的,可以跨域:

Nginx 网关的支持

尽量不要用 add_header Acess-Control-Allow-origin *有个缺陷,cookice 可能无法处理。

# 跨域配置
location ^~ /api/ {
    proxy_pass http://127.0.0.1:8080/api/; # 配置反向代理
    add_header 'Access-Control-Allow-Origin' $http_origin;  # 允许任何跨域
    add_header 'Access-Control-Allow-Credentials' 'true'; # 允许后端带上 cookie
    add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
    add_header Access-Control-Allow-Headers '*';
    if ($request_method = 'OPTIONS') { # options 预检请求通过了,就可以访问了。
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Origin' $http_origin;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain; charset=utf-8';
        add_header 'Content-Length' 0;
        return 204;
    }
}


# 跨域配置
location ^~ /api/ {
    proxy_pass http://127.0.0.1:8080/api/; # 配置反向代理
    add_header 'Access-Control-Allow-Origin' $http_origin;  # 允许任何跨域
    add_header 'Access-Control-Allow-Credentials' 'true'; # 允许后端带上 cookie
    add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
    add_header Access-Control-Allow-Headers '*';
    if ($request_method = 'OPTIONS') { # options 预检请求通过了,就可以访问了。
        add_header 'Access-Control-Allow-Credentials' 'true';
        add_header 'Access-Control-Allow-Origin' $http_origin;
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
        add_header 'Access-Control-Max-Age' 1728000;
        add_header 'Content-Type' 'text/plain; charset=utf-8';
        add_header 'Content-Length' 0;
        return 204;
    }
}
  1. 修改后端服务
    1. 配置 @ CrossOrigin 注解

@CrossOrigin(origins = {"http://你想支持跨域的域名"}, allowCreadentials = "true")
public class UserController {

    
}

b. 添加 web全局请求拦截器

@Configuration
public class WebMvcConfg implements WebMvcConfigurer {
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/**")
                //设置允许跨域请求的域名
                //当 **Credentials为true时,** Origin不能为星号,需为具体的ip地址【如果接口不带cookie,ip无需设成具体ip】
                .allowedOrigins("http://localhost:9527", "http://127.0.0.1:9527", "http://127.0.0.1:8082", "http://127.0.0.1:8083")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(3600);
    }
}

c. 定义新的 corsFilter Bean,参考:https://www.jianshu.com/p/b02099a435bd

补充:SpringBoot设置Cors跨域的四种方式

前言:CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持,对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过,使用SpringMVC4.2 以下版本的小伙伴也不用慌,直接使用方式4通过手工添加响应头来授权CORS跨域访问也是可以的。

链接:https://www.jianshu.com/p/b02099a435bd

首先一点:跨域问题,后端解决,有如下四种方式。

方式1:返回新的CorsFilter

@Configuration
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setMaxAge(3600L);
        corsConfiguration.setAllowCredentials(true);
        return corsConfiguration;
    }
 
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        return new CorsFilter(source);
    }
}

方式2:重写WebMvcConfigurer

@Configuration
public class WebMvcConfg implements WebMvcConfigurer {
 
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        //设置允许跨域的路径
        registry.addMapping("/**")
                //设置允许跨域请求的域名
                //当**Credentials为true时,**Origin不能为星号,需为具体的ip地址【如果接口不带cookie,ip无需设成具体ip】
                .allowedOrigins("http://localhost:9527", "http://127.0.0.1:9527", "http://127.0.0.1:8082", "http://127.0.0.1:8083")
                //是否允许证书 不再默认开启
                .allowCredentials(true)
                //设置允许的方法
                .allowedMethods("*")
                //跨域允许时间
                .maxAge(3600);
    }
}

方式3:使用注解(@CrossOrigin)

@Controller
@RequestMapping("/admin/sysLog")
@CrossOrigin
public class SysLogController {
 
}

方式4:手工设置响应头(HttpServletResponse )

这种方式,可以自己手工加到,具体的controller,inteceptor,filter等逻辑里。

@RequestMapping("/test")
@ResponseBody
public String test(){
response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");
return "success";
}

总结:以上是设置cors跨域后端解决的四种方式,本质都是类似最后一种设置响应头,不过都是各自包实现了不同的封装逻辑。

最后:

“在这个最后的篇章中,我要表达我对每一位读者的感激之情。你们的关注和回复是我创作的动力源泉,我从你们身上吸取了无尽的灵感与勇气。我会将你们的鼓励留在心底,继续在其他的领域奋斗。感谢你们,我们总会在某个时刻再次相遇。”

在这里插入图片描述

SpringBoot笔记20】SpringBoot问题CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 2384
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】
谙忆-陈浩翔
01-14 1万+
Allow CORS: Access-Control-Allow-Origin插件安装与使用教程【Chrome插件小白式教程】 文章目录插件介绍插件下载CSDN论坛下载地址官方的下载地址ZIP包安装插件开关与使用测试是否开启成功注意点关闭插件卸载插件 插件介绍 解决Chrome浏览器问题,2021年1月14日,确保能用。 QQ群:819539788 插件下载 CSDN论坛下载地址 官方的链接,可能会有朋友无法下载,别方,我准备了国内的下载地址: 关注微信公众号获取下载地址。 回复关键字:chrome
如何使用CORS来允许设置Cookie
最新发布
KFCrlWNwxxrM的博客
04-20 243
以上就是使用CORS来允许设置Cookie的方法
源资源共享(CORS
诗渊的博客
07-27 6706
本博文中介绍了的另一种思想:源资源共享(CORS),介绍了CORS的基本的思想以及在IE和其他浏览器中的实现方法,最后给出了兼容各大浏览器的CORS的实现方法
Springboot 为RESTful Web服务启用Cors源请求 的四种方式
weixin_43740223的博客
09-09 421
转自 springboot设置Cors的四种方式 前言:CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持,对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过,使用SpringMVC4.2 以下版本的小伙伴也不用慌,直接使用方式4通过手工添加响应头来授权CORS访问也是可以的。 方式1:返回新的CorsFilter import org.springframework.context.an
启用源请求 (CORS)
weixin_34038652的博客
10-09 302
https://docs.microsoft.com/zh-cn/aspnet/core/security/cors
Allow CORS: Access-Control-Allow-Origin插件使用
小新没有蜡笔的博客
11-04 1万+
Allow CORS: Access-Control-Allow-Origin插件使用
allow-cors-access-control插件,解决问题,内含使用教程
10-03
`allow-cors-access-control` 插件就是为了解决这一问题而诞生的,它允许我们绕过浏览器的同源策略,方便地在Chrome浏览器上进行请求。 `allow-cors-access-control` 插件的核心功能在于启用CORS(Cross-Origin...
资源共享 CORS 详解
09-02
资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,旨在允许Web应用程序向不同源的服务器请求数据,而不会受到浏览器的同源策略限制。这一功能对于现代Web应用的开发至关重要,因为它允许开发者构建...
谷歌插件allow-cors-access-control.zip
08-04
标题中的“谷歌插件allow-cors-access-control.zip”指的是一个用于解决浏览器问题的Chrome插件。资源共享(CORS)是一种机制,它允许Web应用程序从不同的源请求资源,比如JavaScript通过Ajax从非同源的...
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
此插件为插件,打开后可访问接口,旧版浏览器可直接拖到扩展程序中安装,新版浏览器需要将扩展名修改成rar并解压,然后点击“加载已解压的扩展程序”安装。 ======================插件概述谷歌译文====================== 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行Ajax请求。 只需激活插件并执行请求。默认情况下(在JavaScript API中),CORS源资源共享在现代浏览器中被阻止。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次工具栏图标。图标将变为橙色的C字母。 ======================插件概述谷歌译文====================== ========================插件概述原文======================== Easily add (Access-Control-Allow-Origin: *) rule to the response header. Allow CORS: Access-Control-Allow-Origin lets you easily perform cross-domain Ajax requests in web applications. Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter. ========================插件概述原文========================
允许CORS:访问控制_-_允许来源「Allow_CORS__Access-Control-Allow-Origin」_0_1_1_0_10_18_38.zip
09-26
允许CORS:访问控制_-_允许来源 前端问题 本插件解压之后直接拖到谷歌浏览器扩展程序界面 即可使用
gs-rest-service-cors:为RESTful Web服务启用源请求
05-13
目录 本指南将引导您完成使用Spring创建“ Hello,World” RESTful Web服务的过程,该服务在响应中包括资源共享(CORS)的标头。 您可以在此找到有关Spring CORS支持的更多信息。 你会建立什么 您将构建一个服务,该服务在http://localhost:8080/greeting接受HTTP GET请求,并以http://localhost:8080/greeting的JSON表示形式响应,如以下清单所示: { " id " : 1 , " content " : " Hello, World! " } 您可以在查询字符串中使用可选的name参数来自定义问候语,如以下清单所示: http://localhost:8080/greeting?name=User name参数值将覆盖World的默认值,并反映在响应中,如以下清单所示: { " id
JavaScript资源请求(CORS解决方案
10年职场两茫茫,35岁凄凉奈若何
02-09 148
JavaScript资源请求(CORS解决方案
Cors资源请求详解
1
03-20 5369
介绍 Cors全称为“资源共享”(Cross-origin resource sharing),是一个W3C标准,一种浏览器机制,可实现对位于应用程序之外的资源的受控访问,对你的应用来源()之外的资源(比如图像或字体)的请求称为请求。那么为什么会出现Cors呢,首先要了解到同源策略,同源策略(Sameoriginpolicy)简称SOP,是一种约定,同源策略限制了网站与源(来源)以外的资源进行交互的能力,每当不同来源 ()发出请求而没有来源配置时,服务器将报告错误。而Cors就是通过特
谷歌插件:Allow CORS: Access-Control-Allow-Origin
热门推荐
weixin_48947842的博客
03-31 1万+
链接:https://pan.baidu.com/s/13TYc3wn6xOfobFwVjR4IAw 提取码:1234 crx是谷歌chrome插件的扩展格式。谷歌扩展插件安装有两种方式,在线安装和线下安装。在线安装就不多说了,主要说线下安装: 1、从设置->更多工具->扩展程序 打开扩展程序页面 2、打开扩展程序页面的"开发者模式" 3、将crx文件拖拽到扩展程序页面,完成安装 ...
利用不安全的源资源共享(CORS)---api.artsy.net
一个码农的笔记
09-17 4697
翻译自 https://bugbountypoc.com/exploiting-cross-origin-resource-sharing/ (这个网站会公开获得赏金的漏洞的poc,方法,思路) 译者:聂心明 利用不安全的源资源共享(CORS)– BugBountyPOC 这个文章的公开者是BugBountyPOC.Note的贡献者Muhammad Khizer Javed,这篇文章的作者...
Access-Control-Allow- CORS 的使用
enthan809882的博客
07-24 1800
示例: response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST,OPTIONS,GET"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "accept,x-requested
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值