「java解决跨域访问」java处理跨域请求
今天给各位分享java解决跨域访问的知识,其中也会对java处理跨域请求进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:
遇上浏览器跨域问题怎么办?
出于安全原因,浏览器禁止 Ajax 调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有 EVILL 网站。来自 EVILL 的脚本不能够对你的银行 API 做出 Ajax 请求(从你的帐户中取出钱!)使用您的凭据。
跨源资源共享(CORS)是由大多数浏览器实现的 W3C 规范,允许你灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如 IFRAME 或 JSONP。
Spring Framework 4.2 GA 为 CORS 提供了第一类支持,使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以 springMVC 的版本要在 4.2 或以上版本才支持 @CrossOrigin
1. controller 配置 CORS
1.1 controller 方法的 CORS 配置,您可以向 @RequestMapping 注解处理程序方法添加一个 @CrossOrigin 注解,以便启用 CORS(默认情况下,@CrossOrigin 允许在 @RequestMapping 注解中指定的所有源和 HTTP 方法):
其中 @CrossOrigin 中的 2 个参数:
1.2 为整个 controller 启用 @CrossOrigin
在这个例子中,对于 retrieve() 和 remove() 处理方法都启用了跨域支持,还可以看到如何使用 @CrossOrigin 属性定制 CORS 配置。
1.3 同时使用 controller 和方法级别的 CORS 配置,Spring 将合并两个注释属性以创建合并的 CORS 配置。
1.4 如果您正在使用 Spring Security,请确保在 Spring 安全级别启用 CORS,并允许它利用 Spring MVC 级别定义的配置。
2. 全局 CORS 配置
JavaConfig
使整个应用程序的 CORS 简化为:
您可以轻松地更改任何属性,以及仅将此 CORS 配置应用到特定的路径模式:
如果您正在使用 Spring Security,请确保在 Spring 安全级别启用 CORS,并允许它利用 Spring MVC 级别定义的配置。
3. XML命名空间
还可以将 CORS 与 MVC XML 命名空间配置。
a) 如果整个项目所有方法都可以访问,则可以这样配置;此最小 XML 配置使 CORS 在 /** 路径模式具有与 JavaConfig 相同的缺省属性:
其中 * 表示匹配到下一层;** 表示后面不管有多少层,都能匹配。
如:
这个可以匹配到的路径有:
不能匹配的:
因为 * 只能匹配到下一层路径,如果想后面不管多少层都可以匹配,配置如下:
请求路径有 /api/,方法示例如下:
c) 如果使用 Spring Security,不要忘记在 Spring 安全级别启用 CORS:
4. How does it work?
CORS 请求(包括预选的带有选项方法)被自动发送到注册的各种 HandlerMapping 。它们处理 CORS 准备请求并拦截 CORS 简单和实际请求,这得益于 CorsProcessor 实现(默认情况下默认 DefaultCorsProcessor 处理器),以便添加相关的 CORS 响应头(如 Access-Control-Allow-Origin)。 CorsConfiguration 允许您指定 CORS 请求应该如何处理:允许 origins, headers, methods 等。
a) AbstractHandlerMapping 类的 setCorsConfiguration() 方法允许指定一个映射,其中有几个 CorsConfiguration 映射在路径模式上,比如 /api/**。
b) 子类可以通过重写 AbstractHandlerMapping 类的 getCorsConfiguration(Object, HttpServletRequest) 方法来提供自己的 CorsConfiguration。
c) 处理程序可以实现 CorsConfigurationSource 接口(如 ResourceHttpRequestHandler),以便为每个请求提供一个 CorsConfiguration。
5. 基于过滤器的 CORS 支持
1. 是 springMVC 的版本要在 4.2 或以上版本才支持 @CrossOrigin
2. 非 @CrossOrigin 没有解决跨域请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示跨域问题。
3. 在 Controller 注解上方添加 @CrossOrigin 注解后,仍然出现跨域问题,解决方案之一就是:
在 @RequestMapping 注解中没有指定 Get、Post 方式,具体指定后,问题解决。
类似代码如下:
参考文章:
1. 官方文档
2.
3.
4.
Ajax 跨域问题及其解决方案
主流的 前后端分离模式 下,当前端调用后台接口时,由于是在非同一个域下的请求,从而会引发 浏览器 的自我安全保护机制,最终结果是 接口成功请求并响应 ,但 前端不能正常处理该返回数据 。
因此,当 同时满足 以下三个条件的情况下,就会出现跨域问题:
想要彻底解决跨域问题,只需要破坏以上三个条件的任一即可:
添加浏览器启动参数: chrome --disable-web-security ,但是极不推荐这种解决方式。
Jsonp,全称 JSON with Padding ,一种非官方的协议,而是一种约定;前端通过向后台发送 script 类型请求解决跨域,此时接口响应的 application/javascript 类型的数据会作为 callback 函数的参数进行处理。
所以,后台也需要做相应的处理。以 Java 为例,添加如下配置即可:
综上, jsonp 请求存在以下几个弊端:
用 Nginx 或 Apache 来代理调用方的请求( 客户端变更为相对路径请求,而非绝对路径 ),此时对于浏览器来说,由于请求是同源的,因此就不存在跨域问题。
以 Java 应用为例,添加如下全局配置:
如果只想针对某个类下的接口,或者是某个具体的接口配置允许跨域,只需要在相应的地方添加注解 @CrossOrigin 即可。
如果配置了 nginx 作为代理服务器,那么只需要为 nginx 添加支持跨域请求即可:
Q1:浏览器在执行跨域请求时,是先执行后判断,还是先判断后执行?
A1:都有可能,这需要根据所发送的请求是 简单请求 还是 非简单请求 来判断;如果是非简单请求,浏览器每次在执行真正的请求之前,还会先发送一个 options 请求方式的预检命令【 可设定缓存时长,取消每次请求都要预检,提高效率,参考上面的服务端配置 】。关于两种请求的区分及定义,参考下图说明:
Q2:如果是允许带( 被调用方 ) cookie 的跨域请求,此时服务端同样配置为 Access-Control-Allow-Origin 等于 * ,前端是否还可以请求成功?
A2:不可以,此时要将 Access-Control-Allow-Origin 指定为 调用方 具体的域【 可以先取得调用方的域再动态配置,这样就不存在多个域请求的限制问题 】,并且添加配置 Access-Control-Allow-Credentials 为 true 。
JAVA跨域问题
跨域问题一般都在后台程序解决,将自己的程序通过配置文件或者代码将其允许跨域,
在有跨域安全的时候,所有前端post请求时,会发送一个与其请求名字一样的OPTIONS
此请求没有任何参数,此机制为post不知道是否有权限请求接口,发送了一个探知请求,探知
请求确认后,允许访问后调用正常Post接口。 不允许就会出现你现在的问题跨域异常。
萌新,java是开源的,比NET好多了,多看看底层
Spring MVC 的跨域解决方案
一句话:同一个ip、同一个网络协议、同一个端口,三者都满足就是同一个域,否则就是跨域。
基于两个方面:
a. web应用本身是部署在不同的服务器上
b.基于开发的角度 --- 前后端分离
web应用本身是部署在不同的服务器上,对应的域名也就有所不同
比如百度。
主域名:
二级域名:, ,
需要在不同的域之间,通过ajax方式互相请求,是非常常见的需求。
Spring 4中增加了对jsonp的原生支持,只需要ControllerAdvice就可以开启,方法如下:
首先新建一个Advice类,我们叫做“JsonpAdvice”,然后在里面定义接收jsonp请求的参数key:
@ControllerAdvice("cn.isy.web.sso.web")指定作用的包名
supper("callback")指定的是url中callback:
注意:
我们还可以重写AbstractJsonpResponseBodyAdvice中的feforeBodyWriteInternal方法:
做到实现url携带callback就返回jsonp格式,没有就返回正常格式
img
controller中
controller中的代码正常编写就OK,不用修改任何东西。
只要保证在cn.isy.web.sso.web包下即可!
jquery ajax
注意:必须使用jsonp的方式提交请求!
有关cors的介绍可以去详细看一下,这里就不作重复了:
CORS详解
跨资源共享CORS详解
主要配置
使用注解CrossOrigin
在controller类上添加CrossOrigin注解表示当前类中的所有入口函数都
可以实现跨域。也可以指定某个conroller中具体的方法。
img
了解一下这个注解的内容:
img
jquery ajax的写法
注意:这里不用使用jsonp的方式请求普通的ajax即可!,因为浏览器自己可以去做!
CORS全局配置
自己试了试没有成功!
资料
解释cors的原理不错
让自己变得更优秀才可以有更多资源
搜索微信号(ID:芋道源码),可以获得各种 Java 源码解析。
并且,回复【书籍】后,可以领取笔者推荐的各种 Java 从入门到架构的书籍。
后端解决前端跨域请求问题
场景:前后端分离,页面和后端项目部署在不同服务器,出现请求跨域问题。
原因:CORS:跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比JSONP要来的好,JSONP对于 RESTful 的 API 来说,发送 POST/PUT/DELET 请求将成为问题,不利于接口的统一。但另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。不过现代的浏览器(IE10以上)基本都支持 CORS。
预检请求(option):在 CORS 中,可以使用 OPTIONS 方法发起一个预检请求(一般都是浏览检测到请求跨域时,会自动发起),以检测实际请求是否可以被服务器所接受。预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法;Access-Control-Request-Headers 首部字段告知服务器实际请求所携带的自定义首部字段。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。
解决方案:
1、创建一个过滤器,过滤options请求。
package com.biz.eisp.sci.util;
import org.apache.commons.httpclient.HttpStatus;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* 解决跨域问题
*
*/
public class CorsFilterimplements Filter {//filter 接口的自定义实现
public void init(FilterConfig filterConfig)throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) servletResponse;
HttpServletRequest request = (HttpServletRequest) servletRequest;
response.setHeader("Access-Control-Allow-Origin", "*");
if ("OPTIONS".equals(request.getMethod())){//这里通过判断请求的方法,判断此次是否是预检请求,如果是,立即返回一个204状态吗,标示,允许跨域;预检后,正式请求,这个方法参数就是我们设置的post了
response.setStatus(HttpStatus.SC_NO_CONTENT); //HttpStatus.SC_NO_CONTENT = 204
response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, DELETE");//当判定为预检请求后,设定允许请求的方法
response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with"); //当判定为预检请求后,设定允许请求的头部类型
response.addHeader("Access-Control-Max-Age", "1"); // 预检有效保持时间
}
filterChain.doFilter(request, response);
}
@Override
public void destroy() {
}
}
2、修改web.xml文件
filter
filter-namecors/filter-name
filter-classcom.biz.eisp.sci.util.CorsFilter/filter-class
/filter
filter-mapping
filter-namecors/filter-name
url-pattern/* /url-pattern
/filter-mapping
3、spring-mvc.xml添加HttpRequestHandlerAdapter http请求处理器适配器。
HttpRequestHandlerAdapter作为HTTP请求处理器适配器仅仅支持对HTTP请求处理器的适配。它简单的将HTTP请求对象和响应对象传递给HTTP请求处理器的实现,它并不需要返回值。它主要应用在基于HTTP的远程调用的实现上。
bean class="org.springframework.web.servlet.mvc.HttpRequestHandlerAdapter"/
java为什么会有跨域问题
前言
相信大家在写前端脚本的时候经常会遇到发送数据到后台的情况,但是由于浏览器的限制,不同域名之间的数据是不能互相访问的,那前端怎么和后端如何进行数据之间的交换呢?
JavaScript由于安全性方面的考虑,不允许页面跨域调用其他页面的对象,那么问题来了,什么是跨域问题?
答:这是由于浏览器同源策略的限制,现在所有支持JavaScript的浏览器都使用了这个策略。那么什么是同源呢?所谓的同源是指三个方面“相同”:
域名相同
协议相同
端口相同
下面就举几个例子来帮助更好的理解同源策略。
URL
说明
是否允许通信
同一域名 允许
不同域名 不允许
同一域名不同端口 不允许
同一域名不同协议 不允许
在JAVA中处理跨域问题,通常有以下两种常用的解决方法。
第一种解决方法
后台代码在被请求的Servlet中添加Header设置:
response.setHeader("Access-Control-Allow-Origin", "*");
PrintWriter out =null;
try
{
out = response.getWriter();
} catch (IOException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
out.print("{'status':'ok'}");
out.flush();
out.close();
Access-Control-Allow-Origin这个Header在W3C标准里用来检查该跨域请求是否可以被通过,如果值为*则表明当前页面可以跨域访问。默认的情况下是不允许的。
在前端JS中需要向Servlet发出请求,请求代码如下所示:
$.ajax({
url: "your url",
type:"get or post",
dataType:"json",
data:{
....
},
success:function(data){
...
}
第二种解决方法
通过jsonp跨域请求的方式。JSONP和JSON虽然只有一个字母的区别,但是他们完全就是两回事,很多人很容易把他们搞混。JSON是一种数据交换的格式,而JSONP则是一种非官方跨域数据交互协议。
首先来说一下前端JS是怎么发送请求。代码如下所示:
$.ajax({
url:"your url",
type:"get or post",
async:false,
dataType : "jsonp",
//服务端用于接收callback调用的function名的参数
jsonp:"callbackparam",
//callback的function名称
jsonpCallback:"success_jsonpCallback",
success:function(data){
console.log(data);
},
error:function(data){
console.log(data);
}
});
这里的callbackparam和success_jsonpCallback可以理解为发送的data数据的键值对,可以自定义,但是callbackparam需要和后台约定好参数名称,因为后台需要获取到这个参数里面的值(即success_jsonpCallback)。
下面,最重要的来了,后台怎么样获取和返回数据呢。代码如下所示:
PrintWriter out =null;
String callback=req.getParameter("callbackparam");
String json=callback+"({'status':'ok'})";
try
{
out = resp.getWriter();
} catch (IOException e)
{
// TODO Auto-generated catch block
e.printStackTrace();
}
out.print(json);
out.flush();
out.close();
首先需要获取参数名为callbackparam的值,这里获取到的值就是“success_jsonpCallback”。然后将这个值加上一对小括号。小括号里放入你需要返回的数据内容,比如这里我返回一个JSON对象。当然你也可以返回其他对象,比如只返回一个字符串类型数据也可以。最后前端JS返回的数据就是这样的:
success_jsonpCallback({'status':'ok'})
浏览器会自动解析为json对象,这时候你只需要在success回调函数中直接用data.status就可以了。
java解决跨域访问的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于java处理跨域请求、java解决跨域访问的信息别忘了在本站进行查找喔。
发布于:2022-12-24,除非注明,否则均为原创文章,转载请注明出处。