注解@CrossOrigin解决跨域问题

发布时间:2026/7/9 16:13:56
注解@CrossOrigin解决跨域问题 注解CrossOrigin解决跨域问题阅读目录一、跨域(CORS)支持二、使用方法1、controller配置CORS2、全局CORS配置3、XML命名空间4、How does it work?5、基于过滤器的CORS支持三、spring注解CrossOrigin不起作用的原因四、参考文章阅读正文注解CrossOrigin出于安全原因浏览器禁止Ajax调用驻留在当前原点之外的资源。例如当你在一个标签中检查你的银行账户时你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求从你的帐户中取出钱使用您的凭据。跨源资源共享CORS是由大多数浏览器实现的W3C规范允许您灵活地指定什么样的跨域请求被授权而不是使用一些不太安全和不太强大的策略如IFRAME或JSONP。回到顶部一、跨域(CORS)支持Spring Framework 4.2 GA为CORS提供了第一类支持使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持CrossOrigin回到顶部二、使用方法1、controller配置CORS1.1、controller方法的CORS配置您可以向RequestMapping注解处理程序方法添加一个CrossOrigin注解以便启用CORS默认情况下CrossOrigin允许在RequestMapping注解中指定的所有源和HTTP方法RestController RequestMapping(/account) public class AccountController { CrossOrigin GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }其中CrossOrigin中的2个参数origins 允许可访问的域列表maxAge准备响应前的缓存持续的最大时间以秒为单位。1.2、为整个controller启用CrossOriginCrossOrigin(origins http://domain2.com, maxAge 3600) RestController RequestMapping(/account) public class AccountController { GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }在这个例子中对于retrieve()和remove()处理方法都启用了跨域支持还可以看到如何使用CrossOrigin属性定制CORS配置。1.3、同时使用controller和方法级别的CORS配置Spring将合并两个注释属性以创建合并的CORS配置。CrossOrigin(maxAge 3600) RestController RequestMapping(/account) public class AccountController { CrossOrigin(origins http://domain2.com) GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }1.4、如果您正在使用Spring Security请确保在Spring安全级别启用CORS并允许它利用Spring MVC级别定义的配置。EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http.cors().and()... } }2、全局CORS配置除了细粒度、基于注释的配置之外您还可能需要定义一些全局CORS配置。这类似于使用筛选器但可以声明为Spring MVC并结合细粒度CrossOrigin配置。默认情况下所有origins and GET, HEAD and POST methods是允许的。JavaConfig使整个应用程序的CORS简化为Configuration EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**); } }如果您正在使用Spring Boot建议将WebMvcConfigurer bean声明如下Configuration public class MyConfiguration { Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**); } }; } }您可以轻松地更改任何属性以及仅将此CORS配置应用到特定的路径模式Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/api/**) .allowedOrigins(http://domain2.com) .allowedMethods(PUT, DELETE) .allowedHeaders(header1, header2, header3) .exposedHeaders(header1, header2) .allowCredentials(false).maxAge(3600); }如果您正在使用Spring Security请确保在Spring安全级别启用CORS并允许它利用Spring MVC级别定义的配置。3、XML命名空间还可以将CORS与MVC XML命名空间配置。a、如果整个项目所有方法都可以访问则可以这样配置此最小XML配置使CORS在/**路径模式具有与JavaConfig相同的缺省属性mvc:cors mvc:mapping path/** / /mvc:cors其中* 表示匹配到下一层** 表示后面不管有多少层都能匹配。如mvc:cors mvc:mapping path/api/*/ /mvc:cors这个可以匹配到的路径有/api/aaa /api/bbbb 不能匹配的 /api/aaa/bbb因为* 只能匹配到下一层路径如果想后面不管多少层都可以匹配配置如下mvc:cors mvc:mapping path/api/**/ /mvc:cors注其实就是一个(*)变成两个(**)b、也可以用定制属性声明几个CORS映射mvc:cors mvc:mapping path/api/** allowed-originshttp://domain1.com, http://domain2.com allowed-methodsGET, PUT allowed-headersheader1, header2, header3 exposed-headersheader1, header2 allow-credentialsfalse max-age123 / mvc:mapping path/resources/** allowed-originshttp://domain1.com / /mvc:cors请求路径有/api/方法示例如下RequestMapping(/api/crossDomain) ResponseBody public String crossDomain(HttpServletRequest req, HttpServletResponse res, String name){ …… …… }c、如果使用Spring Security不要忘记在Spring安全级别启用CORShttp !-- Default to Spring MVCs CORS configuration -- cors / ... /http4、How does it work?CORS请求包括预选的带有选项方法被自动发送到注册的各种HandlerMapping 。它们处理CORS准备请求并拦截CORS简单和实际请求这得益于CorsProcessor实现默认情况下默认DefaultCorsProcessor处理器以便添加相关的CORS响应头如Access-Control-Allow-Origin。 CorsConfiguration 允许您指定CORS请求应该如何处理允许origins, headers, methods等。a、AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射其中有几个CorsConfiguration 映射在路径模式上比如/api/**。b、子类可以通过重写AbstractHandlerMapping类的getCorsConfiguration(Object, HttpServletRequest)方法来提供自己的CorsConfiguration。c、处理程序可以实现 CorsConfigurationSource接口如ResourceHttpRequestHandler以便为每个请求提供一个CorsConfiguration。5、基于过滤器的CORS支持作为上述其他方法的替代Spring框架还提供了CorsFilter。在这种情况下不用使用CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry),例如可以在Spring Boot应用程序中声明如下的过滤器Configuration public class MyConfiguration { Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source new UrlBasedCorsConfigurationSource(); CorsConfiguration config new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin(http://domain1.com); config.addAllowedHeader(*); config.addAllowedMethod(*); source.registerCorsConfiguration(/**, config); FilterRegistrationBean bean new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0); return bean; } }三、spring注解CrossOrigin不起作用的原因1、是springMVC的版本要在4.2或以上版本才支持CrossOrigin2、非CrossOrigin没有解决跨域请求问题而是不正确的请求导致无法得到预期的响应导致浏览器端提示跨域问题。3、在Controller注解上方添加CrossOrigin注解后仍然出现跨域问题解决方案之一就是在RequestMapping注解中没有指定Get、Post方式具体指定后问题解决。类似代码如下CrossOrigin RestController public class person{ RequestMapping(method RequestMethod.GET) public String add() { // 若干代码 } }四、参考文章1、官方文档CORS support in Spring Framework2、http://fanshuyao.iteye.com/blog/23841893、spring注解CrossOrigin不起作用的原因之一_不正确的请求导致无法得到预期的响应的原因-CSDN博客4、Spring框架跨域问题之使用CrossOrigin注解解决失败的原因总结_controller加跨域注解-CSDN博客

相关新闻

如何利用fortran语言建设网站:别闹了,这简直是自虐

如何利用fortran语言建设网站:别闹了,这简直是自虐

看到标题你是不是想笑?或者想骂人?我懂。真的,我懂。昨天有个哥们儿私信我,说想搞个高性能计算网站,问我能不能用Fortran写前端。我差点把刚喝进去的咖啡喷屏幕上。这哥们儿是认真的吗?Fortran?那是上个世纪的科学计算王者,不是用来写HTML5的。咱们得把话说清楚。如何利…

发布时间:2026/7/9 16:13:10
别被坑了!建设项目竣工验收网站那些没人敢说的潜规则,看完省下一半精力

别被坑了!建设项目竣工验收网站那些没人敢说的潜规则,看完省下一半精力

说实话,第一次搞竣工验收那会儿,我整个人都是懵的。以前总觉得只要楼盖完了,找几个专家来看看,签个字就完事了。结果现实狠狠给了我一巴掌。那天我在办公室熬到凌晨三点,对着电脑屏幕发呆,因为资料根本对不上。那时候我才意识到,现在的验收流程早就不是以前那种“人情世…

发布时间:2026/7/9 16:12:34
深度解析OBS Virtual Cam虚拟摄像头插件:从技术原理到企业级部署的完整指南

深度解析OBS Virtual Cam虚拟摄像头插件:从技术原理到企业级部署的完整指南

深度解析OBS Virtual Cam虚拟摄像头插件:从技术原理到企业级部署的完整指南 【免费下载链接】obs-virtual-cam obs-studio plugin to simulate a directshow webcam 项目地址: https://gitcode.com/gh_mirrors/ob/obs-virtual-cam OBS Virtual Cam是一款革命…

发布时间:2026/7/9 16:12:52
上海建设银行网站转账记录查询,别再傻傻去柜台排队了,这几点真得知道

上海建设银行网站转账记录查询,别再傻傻去柜台排队了,这几点真得知道

刚转完账,心里就发慌。 怕转错人,怕没到账。 跑一趟银行,排队两小时。 就为了看个余额,真累。 这种焦虑,我太懂了。 其实根本不用折腾自己。 手机银行能查,网页也能查。 但很多人就是不知道入口。 或者嫌网页版太麻烦。 今天我就把底裤都扒给你看。 怎么用最笨的方法,查…

发布时间:2026/7/9 17:05:21
贵州建设厅培训中心网站查询入口与避坑指南,别让你的考证路走弯路

贵州建设厅培训中心网站查询入口与避坑指南,别让你的考证路走弯路

本文关键词:贵州建设厅培训中心网站你是不是也遇到过这种糟心事?明明手里攥着报名费,去网上查资料却全是广告链接。点进去不是要钱就是填表,最后发现根本不是官方渠道。这种被“李鬼”网站忽悠的经历,相信不少准备考证的朋友都吃过亏。特别是想查贵州建设厅培训中心网站的…

发布时间:2026/7/9 17:04:35
搞工程的都看过来,住房城乡建设部网站诚信到底咋回事?别被忽悠了

搞工程的都看过来,住房城乡建设部网站诚信到底咋回事?别被忽悠了

说句掏心窝子的话。干建筑这行,水太深。以前咱们找项目,靠的是酒量,靠的是关系。现在不一样了。现在讲究的是个“信”字。你想想,要是连个名字都查不到,谁敢把几千万的项目交给你?最近好多兄弟问我。说那个住房城乡建设部网站诚信,到底是个啥玩意儿?是不是又是搞形式主…

发布时间:2026/7/9 17:04:17
AT89C52 电子时钟 Proteus 仿真:8位数码管动态扫描与定时器中断配置详解

AT89C52 电子时钟 Proteus 仿真:8位数码管动态扫描与定时器中断配置详解

AT89C52电子时钟Proteus仿真实战:从动态扫描到中断优化的全流程解析 1. 仿真环境搭建与核心器件选型 在开始电子时钟仿真前,需要明确几个关键点:为什么选择Proteus作为仿真平台?AT89C52相比其他51系列单片机有何优势?…

发布时间:2026/7/9 17:03:59
别被忽悠了,学校网站建设材料到底怎么选才不踩坑

别被忽悠了,学校网站建设材料到底怎么选才不踩坑

昨天有个做教育局的朋友跟我吐槽,说他们学校刚花了两万多做的官网,上线不到半年就卡得动不了,服务器还老崩。我一看后台,好家伙,用的全是那种免费开源的模板,图片也没压缩,代码写得跟天书一样。我就纳闷了,现在都什么年代了,怎么还有这种事儿?其实吧,这事儿真不怪他…

发布时间:2026/7/9 17:03:24
网站的建设属于无形资产吗?别被会计忽悠,老板们得懂这3点

网站的建设属于无形资产吗?别被会计忽悠,老板们得懂这3点

很多老板在记账的时候都懵过。花了几万块搞个官网,这钱到底算啥?是当期费用直接扣掉,还是能当成资产留着慢慢摊销?这就涉及到一个核心问题:网站的建设属于无形资产吗?今天不整那些虚头巴脑的会计术语,咱们用大白话聊聊这事儿。毕竟钱是自己的,税也是自己的,搞不清楚容…

发布时间:2026/7/9 17:03:01
江苏建设个人信息网站 怎么查才不踩坑?

江苏建设个人信息网站 怎么查才不踩坑?

昨晚十一点半,我还在被窝里刷手机。不是看剧,是焦虑。前脚刚收到个骚扰电话,后脚短信就来了。那种感觉,就像有人在你家窗户底下装了窃听器。气不打一处来。我想查查我的信息到底泄露没。这时候脑子里蹦出个念头:江苏建设个人信息网站。别笑,这名字听着挺官方,挺靠谱。我…

发布时间:2026/7/9 0:01:26
珠海住房和建设局网站怎么查备案?老中介的掏心窝子话,别等踩坑才后悔

珠海住房和建设局网站怎么查备案?老中介的掏心窝子话,别等踩坑才后悔

珠海这地方,买房的人是真多,但水也是真深。很多人第一反应是去中介门店看海报,或者刷短视频听主播喊口号。说句不好听的,那些都是包装出来的“美好”。真正能定心丸的,其实就在那个看起来有点丑、操作有点繁琐的官方平台上——珠海住房和建设局网站。我干了五年房产,见过…

发布时间:2026/7/9 0:01:49
别再被忽悠了!揭秘专业网站建设效果的底层逻辑与真实成本

别再被忽悠了!揭秘专业网站建设效果的底层逻辑与真实成本

很多老板找我聊网站,开口就是“给我整一个高大上的”,预算还卡得死死的,三五千块钱想做出几十万的效果。说实话,这种需求我一般直接劝退。为啥?因为专业网站建设效果从来不是靠堆砌特效或者套用模板能搞定的,它是商业逻辑、技术实现和用户心理的精密结合。今天咱不整那些…

发布时间:2026/7/9 0:01:56
做个人信息管理网站建设,这3个坑我踩了七年,你千万别再跳

做个人信息管理网站建设,这3个坑我踩了七年,你千万别再跳

做了七年建站,见过太多老板花大钱买模板,最后发现根本没法用。特别是现在大家都讲究数据隐私,想搞个个人信息管理网站建设,结果越搞越乱。这篇文不整虚的,直接说怎么把这套系统落地,让你自己的数据真正听话。先说个真事儿。去年有个做自由职业的朋友找我,他说想建个网站…

发布时间:2026/7/9 15:43:56
杨凌规划建设局网站怎么查最新规划?老杨说点大实话

杨凌规划建设局网站怎么查最新规划?老杨说点大实话

杨凌规划建设局网站你是不是也遇到过这种情况?想看看自家旁边要修路,还是建公园。翻遍了手机,搜出来的全是几年前的旧闻。或者好不容易找到个入口,页面加载慢得像蜗牛。心里那个急啊,真的,懂的人都懂。我是老杨,在杨凌混了十几年,跟这行打交道不少。今天不跟你扯那些虚…

发布时间:2026/7/9 15:43:42
杭州网站建设 seo 避坑指南:别被那些只会套模板的忽悠了

杭州网站建设 seo 避坑指南:别被那些只会套模板的忽悠了

昨天半夜两点,我还在改一个客户的后台,咖啡都凉透了。这哥们儿是做机械配件的,在余杭那边,找的前一家公司花了八千块做了个站,结果上线一个月,百度连个影子都没有。他急得给我打电话,说是不是被黑了。我让他把链接发过来,打开一看,好家伙,那代码乱得跟刚被猫抓过的毛…

发布时间:2026/7/9 16:54:10
建站7年才悟出的网站建设思路,别再花冤枉钱了

建站7年才悟出的网站建设思路,别再花冤枉钱了

做建站这行整整7年了。 见过太多老板花几万块, 最后做出来的网站像个垃圾场。 今天不整那些虚头巴脑的术语。 就聊聊我踩过的坑, 和真正能落地的网站建设思路。很多老板一上来就问: “多少钱能做个高大上的?” 我通常直接劝退。 因为方向错了, 你给再多钱也是打水漂。 真正…

发布时间:2026/7/9 15:45:02
合肥的网站建设避坑指南:别被低价忽悠,这3个细节决定生死

合肥的网站建设避坑指南:别被低价忽悠,这3个细节决定生死

做企业官网最怕什么?不是技术难,是交钱后没人管,或者上线一个月连个访客都没有。这篇东西不扯虚的,直接告诉你怎么在合肥找个靠谱的团队,或者自己怎么避坑。先说个大实话,我在合肥混这行五年多,见过太多老板因为贪便宜吃大亏。你去百度搜“合肥的网站建设”,出来一堆报…

发布时间:2026/7/9 15:44:20
别被忽悠了!德州网站建设那些坑,我拿真金白银换来的教训

别被忽悠了!德州网站建设那些坑,我拿真金白银换来的教训

做这行久了,心里就憋着一股火。每次看到客户拿着网上抄来的模板,问我能不能做成“苹果官网”那种效果。我就想笑。真的,太想笑了。今天咱不整那些虚头巴脑的专业术语。就聊聊德州网站建设里,那些让人头秃的真实事儿。我有个客户,老张。他是做德州本地建材的,实在人。当初…

发布时间:2026/7/9 15:45:20