为什么使用postman发送请求时不会有跨域问题?
我是大明哥,一个专注 「死磕 Java」 的硬核程序员。
因为跨域是浏览器行为!!!!!浏览器行为!!!!浏览器行为!!!!
大明哥来详细讲讲跨域问题以及在 Spring Boot 中的解决方案。
什么是跨域问题
跨域是指浏览器的同源策略限制了网页向其他域发送请求的行为。同源策略要求协议、域名、端口号必须一致。例如:
http://skjava.com:80和https://``skjava``.com:80不同源(协议不同)。http://``skjava``.com:80和http://``skjava``.com:8080不同源(端口不同)。http://``skjava``.com和http://api.``skjava``.com不同源(域名不同)
当浏览器检测到跨域请求时,会自动触发 CORS(跨域资源共享,Cross-Origin Resource Sharing)检查。如果服务器没有正确设置 CORS 相关的响应头,浏览器会拦截请求,并报出跨域错误。
CORS 机制的工作方式
CORS 的核心在于浏览器与服务器之间通过 HTTP 头进行协商。具体过程如下:
简单请求
简单请求是指满足以下条件的 HTTP 请求:
- 使用方法为
GET、POST或HEAD。 - 请求头只能包含以下字段:
Accept、Accept-Language、Content-Language、Content-Type(仅限值为application/x-www-form-urlencoded、multipart/form-data或text/plain)。
对于简单请求,浏览器直接发出请求,但需要服务器在响应头中返回:
Access-Control-Allow-Origin: http://localhost:3000
预检请求
当请求不满足简单请求的条件(如使用了复杂的请求头或方法),浏览器会先发送一个 OPTIONS 请求进行预检,确认服务器是否允许跨域。例如:
浏览器发出的预检请求:
OPTIONS /api/data HTTP/1.1
Origin: http://localhost:3000
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
服务器返回的预检响应:
HTTP/1.1 200 OK
Access-Control-Allow-Origin: http://localhost:3000
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type
Access-Control-Allow-Credentials: true
Spring Boot 如何解决跨域问题
使用 @CrossOrigin 注解
使用 @CrossOrigin 来标注某些方法允许跨域访问。例如:
@RestController
@RequestMapping("/skjava")
public class MyController {
@GetMapping("/getSkjavaInfo")
@CrossOrigin(origins = "http://localhost:3000") // 指定允许跨域的来源
public String getSkjavaInfo() {
return "Hello, Cross-Origin!";
}
}
origins 参数用于指定允许的来源,可以是具体的域名(如 http://skjava.com:80,表示只允许指定域名跨域)或通配符(*,表示所有域名都可以跨域访问)。但是它只适用于那些特定的接口部分放开跨域。
全局配置 CORS
有些情况我们需要全局允许跨域,这个时候我们就需要全局配置跨域了,如下:
@Configuration
public class CorsConfig implements WebMvcConpr {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**") // 匹配所有请求路径
.allowedOrigins("http://localhost:3000") // 允许的来源
.allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的请求方法
.allowedHeaders("*") // 允许的请求头
.allowCredentials(true); // 允许发送 Cookie
}
}
配置过滤器
在更加复杂的场景下,我们可能需要对请求头、响应头等进行更加细粒度的控制,此时我们就可以创建一个过滤器来实现:
@Component
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
HttpServletResponse httpResponse = (HttpServletResponse) response;
httpResponse.setHeader("Access-Control-Allow-Origin", "http://localhost:3000");
httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
chain.doFilter(request, response);
}
}
这种方式自由度比较高,但是实现难度比较大,复杂性高,比较适合那些复杂的需求场景。
浏览器的 CORS 是一种客户端安全保护机制,在实际开发中我们应该避免全局放开跨域,防止安全问题。
求一键三连:点赞、分享、收藏
点赞对我真的非常重要!在线求赞,加个关注我会非常感激!@大明哥
