springboot CORS 跨域请求解决三大方案,springboot CorsFilter解决跨域问题

最新推荐文章于 2025-05-20 12:35:31 发布
原创 最新推荐文章于 2025-05-20 12:35:31 发布 · 1.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ajax #java #nginx #javascript #spring

本文介绍了SpringBoot中解决CORS跨域问题的三种方法:使用@CrossOrigin注解、实现WebMvcConfigurer接口和配置CorsFilter。详细讲解了每种方法的实现步骤,并给出了前端ajax请求的示例。重点强调了简单请求与非简单请求的区别以及OPTIONS预检请求的处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

springboot CORS 跨域请求解决三大方案,springboot CorsFilter解决跨域问题

springboot CORS解决 No 'Access-Control-Allow-Origin' header is present on the requested resource

================================

©Copyright 蕃薯耀 2020-11-24

https://www.cnblogs.com/fanshuyao/

跨域请求,一般是在页面调用ajax请求向别的应用服务发送请求,因域名不相同,导致跨域

解决跨域请求的方式有:

一、远程服务器支持跨域请求(CORS 跨域)

二、使用nginx反向代理

三、服务器端使用Http请求

四、使用jsonp(需要应用服务器支持)

下面以远程服务器支持跨域请求(CORS 跨域)为例:

其中有三种方式让远程服务器支持跨域请求

方式一、使用注解:@CrossOrigin

1、在类上加注解,表示类下所有方法都支持跨域请求

@CrossOrigin
@RestController
@RequestMapping("cross")
public class AaaController {

}

2、在方法加注解,表示该方法运动跨域请求

@RestController
@RequestMapping("cross")
public class AaaController {

    @CrossOrigin
    @RequestMapping("/bbb")
    public Result bbb(HttpServletRequest request, HttpServletResponse response) throws Exception {
        ……
    }
}

方式二、实现WebMvcConfigurer接口,重写addCorsMappings方法(官方文档全局配置跨域请求使用的是此方式)

import java.nio.charset.Charset;
import java.util.ArrayList;
import java.util.List;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import com.test.util.JsonUtil;


@Configuration
public class MvcConfig implements WebMvcConfigurer {

    /**
     * 解决跨域请求
     * @return
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
        .allowCredentials(true)
        .allowedOrigins("*")
        .allowedHeaders("*")
        .allowedMethods("*")
        .maxAge(3600);

        WebMvcConfigurer.super.addCorsMappings(registry);
    }



    /**
     * 解决@RestController返回json结果时,IE浏览器出现下载json文件的现象。
     * @return
     */
    @Bean
    public MappingJackson2HttpMessageConverter jackson2HttpMessageConverter() {
        MappingJackson2HttpMessageConverter jsonConverter = new MappingJackson2HttpMessageConverter();
        
        List<MediaType> supportedMediaTypes  = new ArrayList<MediaType>();
        supportedMediaTypes.add(new MediaType(MediaType.TEXT_PLAIN, Charset.forName("UTF-8")));
        supportedMediaTypes.add(new MediaType(MediaType.TEXT_HTML, Charset.forName("UTF-8")));
        jsonConverter.setSupportedMediaTypes(supportedMediaTypes);
        
        jsonConverter.setObjectMapper(JsonUtil.getMapper());//设置使用jackson转换器
        
        return jsonConverter;
    }
    

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        converters.add(jackson2HttpMessageConverter());
    }

    
}

方式三、使用CorsFilter过滤器

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class HttpFilterConfig {

    @Bean
    public FilterRegistrationBean<CorsFilter> corsFilter() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.setAllowCredentials(true);
        corsConfig.addAllowedOrigin(CorsConfiguration.ALL);
        corsConfig.addAllowedMethod(CorsConfiguration.ALL);
        corsConfig.addAllowedHeader(CorsConfiguration.ALL);
        //默认可不设置这个暴露的头。这个为了安全问题,不能使用*。设置成*,后面会报错:throw new IllegalArgumentException("'*' is not a valid exposed header value");
        //corsConfig.addExposedHeader("");
        corsConfig.setMaxAge(3600L);
        
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", corsConfig);
        
        FilterRegistrationBean<CorsFilter> corsBean = new FilterRegistrationBean<CorsFilter>(new CorsFilter(configSource));
        corsBean.setName("crossOriginFilter");
        corsBean.setOrder(0);//这个顺序也有可能会有影响,尽量设置在拦截器前面
        return corsBean;
    }
    
    
}

前端页面调用示例:

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>跨域请求</title>
<script type="text/javascript" src="js/jquery-3.4.1.min.js"></script>
</head>
<body>

    <div>跨域请求</div>
    
<script type="text/javascript">
function ajax(){
    console.log("ajax()");
    $.ajax({  
        //async: false,//设置为同步,默认为异步(一般不需要)  
        url : "http://aaa.com:7010/gtkjCghj/workflow/processes",  //aaa.com域名修改host文件
        type : "post",  
        dataType : "json",
        //contentType: "application/json;charset=UTF-8",//contentType如果设置成application/json;charset=UTF-8,就会会变成复杂请求,导致发送2次请求,第一次是options请求,第二次才是真正的请求。
        data : {
            "processName" : "报批",
            "gxDocNo": "f2-202000234",
            "ssotoken":"eyJpc3N1Y2Nlc3MiOiJ0cnVlIiwiZmFpbHJlc29uIjoiIiwiYWNjb3VudCI6Inplbmd6aW0iLCJ0b2tlbiI6ImE5YzA5YTdjYWRlOTQwNjFiNzdmYzMxNjhkZDI2Mzc3In0=.Eg4DFhERDQ=="
        },
        complete : function(XMLHttpRequest, textStatus){  
            //alert("textStatus="+textStatus);  
        },  
        error : function(XMLHttpRequest, textStatus, errorThrown){  
            if("error" == textStatus){  
                alert("服务器未响应,请稍候再试");  
            }else{  
                alert("请求失败,textStatus="+textStatus);  
            }  
         },  
         success : function(data){  
             if(data != null){  
                 console.log("data===" + JSON.stringify(data));
             }else{  
                 alert("返回结果为空!");  
             }  
         }  
    }); 
};


ajax();
</script>

</body>
</html>

注意事项: 

需要注意的是ajax请求中的contentType

contentType默认的值是:application/x-www-form-urlencoded,当不设置或者为默认值时,这个是简单请求,只发送1次真正的请求。
如果contentType设置成"application/json;charset=UTF-8"会变成复杂请求,导致发送2次请求,第一次是options请求,第二次才是真正的请求。

部分服务器,是禁止发送OPTIONS请求的,这样会导致跨域问题:

jquery-3.4.1.min.js:2 OPTIONS http://test.com/gtkjCghj/workflow/processes 401 (Unauthorized)
has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

简单请求
只要同时满足以下条件就属于简单请求
1、请求方法是以下三种方法之一:GET、POST、HEAD
2、Http的头信息不超出以下几种字段:Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type。

Content-Type只限于三个值:application/x-www-form-urlencoded、multipart/form-data、text/plain

简单请求的请求头示例:
其中:Content-Type: application/x-www-form-urlencoded; charset=UTF-8

POST /gtkjCghj/workflow/processes HTTP/1.1
Host: aaa.com:7010
Connection: keep-alive
Content-Length: 212
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://127.0.0.1:7010
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://127.0.0.1:7010/gtkjCghj/static/cross.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

非简单请求,发送OPTIONS的请求头:

OPTIONS /gtkjCghj/workflow/processes HTTP/1.1
Host: aaa.com
Connection: keep-alive
Access-Control-Request-Method: POST
Origin: http://aaa.com:7010
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Access-Control-Request-Headers: content-type
Accept: */*
Referer: http://127.0.0.1:7010/gtkjCghj/static/cross.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

总结:cors跨域请求解决方案(建议采用方案1)

1、springboot CORS 跨域请求解决三大方案,springboot CorsFilter解决跨域问题

https://www.cnblogs.com/fanshuyao/p/14030944.html

2、cors-filter使用,cors-filter解决跨域访问,cors-filter跨域请求

https://www.cnblogs.com/fanshuyao/p/14036848.html

3、org.ebaysf.web的cors-filter使用,cors-filter跨域请求

https://www.cnblogs.com/fanshuyao/p/14042293.html

4、java tomcat-catalina CorsFilter使用,apache tomcat-catalina CorsFilter使用

https://www.cnblogs.com/fanshuyao/p/14042420.html

5、springboot jsonp 跨域请求,springboot使用jsonp跨域

https://www.cnblogs.com/fanshuyao/p/14034014.html

(如果文章对您有帮助,欢迎捐赠,^_^)

================================

©Copyright 蕃薯耀 2020-11-24

https://www.cnblogs.com/fanshuyao/

SpringBoot笔记20】SpringBoot问题CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 2415
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
SpringBoot解决的三种解决方案
黄团团的个人博客
06-06 812
是指在 Web 开发中,通过不同名的网站之间进行数据交互或资源共享时,由于浏览器的同源策略限制导致的访问限制问题。同源策略要求网页中所有资源的请求都要与页面来源相同,包括协议、名、端口号必须完全一致。如果请求的资源与页面来源不一致,就会触发问题
cors-filter:一个非常简单但有用的 CORS servlet 过滤器
06-19
cors过滤器 这个非常简单的项目受到spring source关于cors的帖子的强烈启发,原帖在 。 原帖和这个贡献的主要区别基本上是这个版本的 cors-filter 可以通过 servlet 过滤器的标准 inti-param 进行编程
SpringBoot配置CorsFilter解决问题
weixin_41645232的博客
03-14 1223
1.问题的由来 由于浏览器的同源策略,不同源的客户端在没有明确授权的情况下,无法 访问另一个的资源。 同源策略:如果两个页面的协议,端口和主机都相同,则两个页面具有相同的源。下面是相对http://192.168.0.100/index.html为例同源检测示例: url 结果 http://192.168.0.100/page 可以,只有URL不用 http://1...
SpringbootSpring Boot请求如何解决
最新发布
weixin_43290370的博客
05-20 986
Spring Boot处理请求基于双重机制,底层遵循W3C的CORS规范。关键处理流程如下:fill:#333;color:#333;color:#333;fill:none;配置允许配置禁止浏览器发起OPTIONS预检请求CORS配置检查设置响应头Access-Control-*返回403 Forbidden放行实际请求业务处理并附加CORS头。
SpringBoot 问题CorsFilter
fangl1109的博客
08-02 921
在当今的Web开发中,请求成为了无法回避的问题。由于浏览器的同源策略限制,如果我们的后端服务和前端应用不在同一个名下,那么默认情况下浏览器是不允许请求的。这就导致了在开发过程中可能会遇到请求被浏览器拦截的问题。为了解决请求问题,我们可以使用CORS资源共享)机制。通过在后端应用中添加相关的CORS头信息,我们可以告诉浏览器允许来自其他请求访问我们的接口。在本篇文章中,我们将介绍如何使用Spring Boot来处理请求
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决资源访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1990
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题资源访问 CORS
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 6020
一、什么是CORSCORS是一个W3C标准,全称是”资源共享”(Cross-origin resource sharing),允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起请求CORS Header Acce..
Springboot处理CORS请求的三种方法
08-19
以下将详细介绍Spring Boot处理CORS请求的三种方法。 1. **使用`@CrossOrigin`注解** `@CrossOrigin`是Spring提供的一个注解,用于配置控制器或方法,允许特定的请求。当在控制器类或具体方法上添加此...
详解springboot设置cors请求的两种方式
08-26
CORS 机制可以解决这个问题,允许 Web 应用程序请求资源。 2. 如何设置 CORS? 可以使用 CorsFilter 或者 CorsConfig 两种方式设置 CORS。使用 CorsFilter 需要 override doFilterInternal 方法,并在该方法中...
vue+springboot实现项目的CORS请求
12-09
资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:资源...
cors-filter-1.7.jar,Java-property-utils-1.9.jar
01-02
cors-filter-1.7.jar,Java-property-utils-1.9.jar Arcgis Server 10.2 配置所需jar包
cors-filter-1.7.jar,java-property-utils-1.9.jar
02-18
cors-filter-1.7.jar,java-property-utils-1.9.jar Geoserver 安装及CORS资源访问配置
CorsFilter.jar
05-10
问题解决
cors-filter-2.6.jar
08-14
问题,后台解决方法依赖包
SpringBoot中一个万能的CorsFilter
weixin_42202992的博客
09-28 307
SpringBoot中一个万能的CorsFilter
SpringBoot配置CorsFilter
Yunje_Wu的博客
04-26 4436
在使用SpringBoot+SpringSecurity配置用户登录时,需要配置CorsFilter,如下: 然后在项目启动的时候报一下错误: 10:24:01.010 [restartedMain] WARN o.s.b.w.s.c.AnnotationConfigServletWebServerApplicationContext - [refresh,591] - Exception encountered during context initialization - cancellin
springboot配置请求CorsFilter
null_is_color的博客
04-01 9129
直接在项目中新建config文件夹新建CorsConfig类 并把以下代码复制进去 package 你的包名; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework...
CORS Filter
热门推荐
xiaofeixiaqing的专栏
04-26 1万+
原文来自:CORS Filter CORS Filter是适用于支持Java web应用源资源共享(CORS)的首个统一解决方案。而源资源共享(CORS)是W3C近期一直致力于引入的保障从web浏览器到处理请求的服务器之间请求的标准化机制。 早期web浏览器为防止用户秘密信息泄露给第三方不同程度强制推行同源策略。同源策略在2000年早期转换为创新性XMLHttpRequest。
Java SpringBoot项目中CORS问题解决指南
根据提供的文件信息,我们来探讨关于Java CORS处理的知识点。首先需要指出的是,文件信息中的标题和描述是重复的,仅提供了zip文件的名称“provider-coustomer-CORS.zip”,但没有给出更具体的文件描述。而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值