Spring 注解面面通 之 @CrossOrigin 注解应用详解

2023-10-09 20:40
文章标签 应用 详解 spring 注解 面面通 crossorigin

本文主要是介绍Spring 注解面面通 之 @CrossOrigin 注解应用详解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  跨源资源共享(CORS),是由大多数浏览器实现的W3C规范,允许对跨域请求进行灵活授权,用来代替IFRAMEJSONP等非正规实现方式。

  @CrossOrigin是用来处理跨源资源共享(CORS)的注解。

  注解解析

  ① value

    指定允许请求源列表,例如:value="http://example.com"

    *表示允许来自任意请求源的请求。

    其值存储在响应标头Access-Control-Allow-Origin中。

    默认情况下,其值为*,允许来自任意请求源的请求。

    注意:CORS处理时,从ForwardedX-Forwarded-HostX-Forwarded-PortX-Forwarded-Proto取请求源值。

  ② origins

    valueorigins含义相同,可以任选valueorigins进行设置。

    valueorigins若同时存在,两者的值需一致,否则启动时会出现异常。

Caused by: org.springframework.core.annotation.AnnotationConfigurationException: In annotation [org.springframework.web.bind.annotation.CrossOrigin] declared on public java.lang.String com.arhorchin.securitit.webannotations.CrossOriginController.crossOriginOrigins(java.util.Map) throws java.lang.Exception and synthesized from [@org.springframework.web.bind.annotation.CrossOrigin(maxAge=-1, methods=[], exposedHeaders=[], origins=[http://localhost:9299], allowedHeaders=[], value=[http://localhost:92991], allowCredentials=)], attribute 'origins' and its alias 'value' are present with values of [{http://localhost:9299}] and [{http://localhost:92991}], but only one is permitted.

  ③ allowedHeaders

    指定允许实际请求标头列表,例如:allowedHeaders="Content-Type,Access-Token"

    *表示允许实际请求带有任意标头。

    其值存储在响应标头Access-Control-Allow-Headers中。

    若为Cache-ControlContent-LanguageExpiresLast-ModifiedPragma,则无需设置。

    默认情况下,其值为*,允许实际请求带有任意标头。

  ④ exposedHeaders

    指定允许客户端(如浏览器)访问的响应标头列表,例如:exposedHeaders="Content-Length"

    其值存储在实际CORS请求的响应头Access-Control-Expose-Headers中。

    默认情况下,只允许客户端访问:Cache-ControlContent-LanguageContent-TypeExpiresLast-ModifiedPragma

​  ⑤ methods

    指定允许请求的HTTP方法。

    默认情况下,允许请求的HTTP方法与@RequestMapping相同。

  ⑥ allowCredentials

    指定其值,表示客户端(如浏览器)是否应将凭证(如Cookies)和跨域请求一起发送到服务器。

    其值存储在预处理响应标头Access-Control-Allow-Credentials中。

    注意:此选项与配置域建立了高级别的信任,由于公开敏感的信息(如CookiesCSRF令牌),会增加Web应用程序受攻击的概率。

    默认情况下,此值不设置,因此不允许使用任何凭证。

  ⑦ maxAge

    指定预处理响应的最大缓存期限,单位为秒。

    其值存储在预处理响应标头Access-Control-Max-Age中。

    其值设置合理可以有效减少客户端与服务器预处理请求的交互次数。

    其值为负,表示未定义。

    默认情况下,其值为1800秒(30分钟)。

  ⑧ DEFAULT_ORIGINSDEFAULT_ALLOWED_HEADERSDEFAULT_ALLOW_CREDENTIALSDEFAULT_MAX_AGE

    这些属性用于设置默认值,在Spring 5.0+版本中已废弃,由CorsConfiguration.applyPermitDefaultValues()方法来完成其功能。

  注解示例

  1)Controller,用来演示@CrossOrigin的使用方法。

package com.arhorchin.securitit.webannotations;import java.util.Map;import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestHeader;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.ResponseBody;/*** @author Securitit.* @note 演示@CrossOrigin注解使用方法.*/
@Controller
@RequestMapping("/WebAnnotations")
public class CrossOriginController {/*** logger.*/private Logger logger = LoggerFactory.getLogger(CrossOriginController.class);/*** 未使用@CrossOrigin.*/@ResponseBody@RequestMapping(value = "/UnCrossOrigin.do",method = RequestMethod.GET)public String unCrossOrigin(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {logger.info("@CrossOrigin use default value.");return "@CrossOrigin use default value.";}/*** 使用默认值的@CrossOrigin.*/@ResponseBody@RequestMapping(value = "/CrossOrigin.do",method = RequestMethod.GET)@CrossOriginpublic String crossOrigin(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {logger.info("@CrossOrigin use default value.");return "@CrossOrigin use default value.";}/*** 指定origins属性的@CrossOrigin.*/@ResponseBody@RequestMapping(value = "/CrossOriginOrigins.do",method = RequestMethod.GET)@CrossOrigin(origins="http://localhost:9299")public String crossOriginOrigins(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {logger.info("@CrossOrigin with origins.");return "@CrossOrigin with origins.";}/*** 指定origins、allowedHeaders、exposedHeaders、allowCredentials属性的@CrossOrigin.*/@ResponseBody@RequestMapping(value = "/CrossOriginOriginsAllowCredentials.do",method = RequestMethod.GET)@CrossOrigin(origins="http://localhost:9299", allowCredentials="true")public String crossOriginAllowedHeadersExposedHeadersAllowCredentials(@RequestHeader Map<String, String> requestHeaderMap) throws Exception {logger.info("@CrossOrigin with origins、allowedHeaders、exposedHeaders、allowCredentials.");return "@CrossOrigin with origins、allowedHeaders、exposedHeaders、allowCredentials.";}}

  2) 启动服务,使用端口9199

  3) 使用《Spring 注解面面通 之 Http测试工具》中的工具页面,启动服务,使用端口9299

  ① 访问http://localhost:9199/spring-annotations/WebAnnotations/UnCrossOrigin.do

在这里插入图片描述

  ② 访问http://localhost:9199/spring-annotations/WebAnnotations/CrossOrigin.do

在这里插入图片描述

  ③ 访问http://localhost:9199/spring-annotations/WebAnnotations/CrossOriginOrigins.do

在这里插入图片描述

  总结

  Spring简化了@CrossOrigin开过过程中的配置,使得跨域请求处理更加便捷。

  源码解析基于spring-framework-5.0.5.RELEASE版本源码。

  若文中存在错误和不足,欢迎指正!

这篇关于Spring 注解面面通 之 @CrossOrigin 注解应用详解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/175425

相关文章

Spring Security 基于表达式的权限控制

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去
阅读更多...
浅析Spring Security认证过程

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti
阅读更多...
Spring Security--Architecture Overview

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保
阅读更多...
Spring Security基于数据库验证流程详解

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica
阅读更多...
Spring Security 从入门到进阶系列教程

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin
阅读更多...
中文分词jieba库的使用与实景应用(一)

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取
阅读更多...
水位雨量在线监测系统概述及应用介绍

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,
阅读更多...
csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个
阅读更多...
hdu1394(线段树点更新的应用)

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in
阅读更多...
OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2