WEB项目解决CORS 跨域问题

2024-09-05 15:12

本文主要是介绍WEB项目解决CORS 跨域问题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

        为了安全,web默认是不允许跨域访问的。不过实际项目中,会遇到不同模块之间来回跳转的情况。所以,项目内部一般会修改配置或者代码来解决CORS跨域问题。

        我的后端使用的是 Jetty 服务器,所以下面就拿jetty来举例。Jetty 提供了一个 CrossOriginFilter 类,可以用来配置和管理跨域请求。

在 Jetty 中配置 CORS

下面有三种配置方式,一种是在web.xml中直接配置,无需修改代码。另外两种是在java代码中配置,这种适合没有web.xml的场景。

方法一. 修改 web.xml 文件

如果项目使用的是 web.xml 文件来配置 servlet,可以通过在 web.xml 中添加以下内容来配置 CORS 过滤器:

<filter><filter-name>cross-origin</filter-name><filter-class>org.eclipse.jetty.servlets.CrossOriginFilter</filter-class><init-param><param-name>allowedOrigins</param-name><param-value>*</param-value> <!-- 允许所有域,如果需要限制可以具体指定 --></init-param><init-param><param-name>allowedMethods</param-name><param-value>GET,POST,HEAD,OPTIONS</param-value> <!-- 允许的HTTP方法 --></init-param><init-param><param-name>allowedHeaders</param-name><param-value>X-Requested-With,Content-Type,Accept,Origin</param-value> <!-- 允许的请求头 --></init-param><init-param><param-name>preflightMaxAge</param-name><param-value>1800</param-value> <!-- 预检请求的最大缓存时间,单位为秒 --></init-param><init-param><param-name>allowCredentials</param-name><param-value>true</param-value> <!-- 是否允许凭证 --></init-param>
</filter><filter-mapping><filter-name>cross-origin</filter-name><url-pattern>/*</url-pattern> <!-- 过滤器适用的URL模式 -->
</filter-mapping>

方法二. 使用 Java 代码配置 CORS 过滤器

如果使用的是 Java 代码配置 Jetty 而不是 web.xml 文件,可以使用以下代码来配置 CrossOriginFilter

import org.eclipse.jetty.servlets.CrossOriginFilter;
import org.eclipse.jetty.servlet.FilterHolder;
import org.eclipse.jetty.servlet.ServletContextHandler;// 创建 Jetty 服务器实例
Server server = new Server(8080);
ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
context.setContextPath("/");// 创建并配置 CORS 过滤器
FilterHolder cors = new FilterHolder(CrossOriginFilter.class);
cors.setInitParameter("allowedOrigins", "*"); // 允许所有来源
cors.setInitParameter("allowedMethods", "GET,POST,HEAD,OPTIONS"); // 允许的HTTP方法
cors.setInitParameter("allowedHeaders", "X-Requested-With,Content-Type,Accept,Origin"); // 允许的请求头
cors.setInitParameter("allowCredentials", "true"); // 是否允许凭证// 将 CORS 过滤器添加到 Jetty 上下文
context.addFilter(cors, "/*", EnumSet.of(DispatcherType.REQUEST));
server.setHandler(context);// 启动服务器
server.start();
server.join();

CrossOriginFilter依赖jetty-servlets.jar。

参数解释

  • allowedOrigins: 设置允许的来源(Origin)。可以是具体的 URL,或者使用 * 表示允许所有来源。为了安全,生产环境中建议指定具体的域。

  • allowedMethods: 定义允许的 HTTP 方法(如 GET, POST, OPTIONS 等)。

  • allowedHeaders: 设置允许的请求头。如果需要处理自定义头部,可以在这里添加。

  • allowCredentials: 表示是否允许发送 Cookie 等凭证信息。如果为 true,则 allowedOrigins 不能是 *,需要指定具体的域。

  • preflightMaxAge: 设置浏览器在发送下一个预检请求之前缓存 OPTIONS 请求的时间。

方法三. 自定义 AccessControlFilter 实现

除了配置CrossOriginFilter,还可以自定义 ContainerResponseFilter 的实现类。只要确保自定义类处理了 CORS 请求的核心逻辑即可,下面的代码是定义了一个实现类AccessControlFilter:

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;
import java.io.IOException;@Provider
public class AccessControlFilter implements ContainerResponseFilter {@Overridepublic void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {// 设置允许的来源responseContext.getHeaders().add("Access-Control-Allow-Origin", "*"); // 可以根据需求修改为具体域名// 设置允许的HTTP方法responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, OPTIONS, HEAD");// 设置允许的请求头responseContext.getHeaders().add("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, Accept, Origin");// 是否允许凭证responseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");// 预检请求的缓存时间responseContext.getHeaders().add("Access-Control-Max-Age", "1209600"); // 14天}
}

如何使用 AccessControlFilter

  • 如果使用的是 Java 配置类,代码如下:
import org.glassfish.jersey.server.ResourceConfig;
import javax.ws.rs.ApplicationPath;@ApplicationPath("/api")
public class JerseyConfig extends ResourceConfig {public JerseyConfig() {packages("你的包名");register(AccessControlFilter.class);}
}
  • 如果使用 web.xml,web.xml 中配置
    <servlet><servlet-name>jersey-servlet</servlet-name><servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class><init-param><param-name>jersey.config.server.provider.packages</param-name><param-value>你的包名</param-value></init-param><init-param><param-name>jersey.config.server.provider.classnames</param-name><param-value>com.example.AccessControlFilter</param-value></init-param><load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping><servlet-name>jersey-servlet</servlet-name><url-pattern>/api/*</url-pattern>
    </servlet-mapping>
    

处理 OPTIONS 请求

CORS 预检请求通常使用 OPTIONS 方法。在 AccessControlFilter 中添加对 OPTIONS 请求的处理,以确保预检请求能够成功返回。

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;
import javax.ws.rs.core.Response;
import java.io.IOException;@Provider
public class AccessControlFilter implements ContainerResponseFilter {@Overridepublic void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {// 设置 CORS 响应头responseContext.getHeaders().add("Access-Control-Allow-Origin", "*");responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, OPTIONS, HEAD");responseContext.getHeaders().add("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, Accept, Origin");responseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");// 处理 OPTIONS 预检请求if (requestContext.getMethod().equalsIgnoreCase("OPTIONS")) {responseContext.setStatusInfo(Response.Status.OK);}}
}

如果不想处理options请求, 可以通过在web服务器侧,配置正向和反向代理,将后端的url都映射成一个apache侧的url。具体实现方法可参考对应的web服务器,这里就不再赘述了。

这篇关于WEB项目解决CORS 跨域问题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1139315

相关文章

Spring的RedisTemplate的json反序列泛型丢失问题解决

《Spring的RedisTemplate的json反序列泛型丢失问题解决》本文主要介绍了SpringRedisTemplate中使用JSON序列化时泛型信息丢失的问题及其提出三种解决方案,可以根据性... 目录背景解决方案方案一方案二方案三总结背景在使用RedisTemplate操作redis时我们针对

SpringBoot整合Dubbo+ZK注册失败的坑及解决

《SpringBoot整合Dubbo+ZK注册失败的坑及解决》使用Dubbo框架时,需在公共pom添加依赖,启动类加@EnableDubbo,实现类用@DubboService替代@Service,配... 目录1.先看下公共的pom(maven创建的pom工程)2.启动类上加@EnableDubbo3.实

Kotlin Map映射转换问题小结

《KotlinMap映射转换问题小结》文章介绍了Kotlin集合转换的多种方法,包括map(一对一转换)、mapIndexed(带索引)、mapNotNull(过滤null)、mapKeys/map... 目录Kotlin 集合转换:map、mapIndexed、mapNotNull、mapKeys、map

nginx中端口无权限的问题解决

《nginx中端口无权限的问题解决》当Nginx日志报错bind()to80failed(13:Permissiondenied)时,这通常是由于权限不足导致Nginx无法绑定到80端口,下面就来... 目录一、问题原因分析二、解决方案1. 以 root 权限运行 Nginx(不推荐)2. 为 Nginx

解决1093 - You can‘t specify target table报错问题及原因分析

《解决1093-Youcan‘tspecifytargettable报错问题及原因分析》MySQL1093错误因UPDATE/DELETE语句的FROM子句直接引用目标表或嵌套子查询导致,... 目录报js错原因分析具体原因解决办法方法一:使用临时表方法二:使用JOIN方法三:使用EXISTS示例总结报错原

Windows环境下解决Matplotlib中文字体显示问题的详细教程

《Windows环境下解决Matplotlib中文字体显示问题的详细教程》本文详细介绍了在Windows下解决Matplotlib中文显示问题的方法,包括安装字体、更新缓存、配置文件设置及编码調整,并... 目录引言问题分析解决方案详解1. 检查系统已安装字体2. 手动添加中文字体(以SimHei为例)步骤

SpringSecurity整合redission序列化问题小结(最新整理)

《SpringSecurity整合redission序列化问题小结(最新整理)》文章详解SpringSecurity整合Redisson时的序列化问题,指出需排除官方Jackson依赖,通过自定义反序... 目录1. 前言2. Redission配置2.1 RedissonProperties2.2 Red

IntelliJ IDEA2025创建SpringBoot项目的实现步骤

《IntelliJIDEA2025创建SpringBoot项目的实现步骤》本文主要介绍了IntelliJIDEA2025创建SpringBoot项目的实现步骤,文中通过示例代码介绍的非常详细,对大家... 目录一、创建 Spring Boot 项目1. 新建项目2. 基础配置3. 选择依赖4. 生成项目5.

nginx 负载均衡配置及如何解决重复登录问题

《nginx负载均衡配置及如何解决重复登录问题》文章详解Nginx源码安装与Docker部署,介绍四层/七层代理区别及负载均衡策略,通过ip_hash解决重复登录问题,对nginx负载均衡配置及如何... 目录一:源码安装:1.配置编译参数2.编译3.编译安装 二,四层代理和七层代理区别1.二者混合使用举例

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu