最近在做一个前后端分离的项目, 前端用的是Vue后端使用的是springboot, 在项目整合的时候发现前端调用后端接口报错403跨域请求问题
前端跨域请求已解决, 那么问题就出在后端了, 找了一些资料找到了很多种方法, 这里说两个简单粗暴的.
注意：“@CrossOrigin“注解要求jdk1.8及以上版本, SpringMVC 4.2及以上版本
1. 在controller层上添加@Configuration注解, 如果没有效果请制定RequestMapping总的method类型在试一下.(此注解也可以加在方法上)
2. 上面的方法解决的是部分功能的跨域问题, 有的时候我们需要全局跨域, 那么可以配置一个config类, 新建一个java文件, 代码如下
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
@SuppressWarnings("deprecation")
@Configuration
public class MyConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
};
}
}
总结
以上所述是小编给大家介绍的解决Vue调用springboot接口403跨域问题,希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持！
如果你觉得本文对你有帮助，欢迎转载，烦请注明出处，谢谢！

Spring MVC 从4.2版本开始增加了对CORS的支持，可以全局配置，也可以对类或方法配置；可以通过Java代码，也可以通过xml配置方式。
对于低版本的Spring MVC 可以通过Filter 往response写http header来实现
还有一种更省事的办法是在Nginx上加入支持。
Java配置
新建一个类，做跨域的配置
@Configuration
@EnableWebMvc
public class CorsConfigureAdapter extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
super.addCorsMappings(registry);
registry.addMapping("/**");
}
}
在Controller上或方法上使用@CrossOrigin注解
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin("http://domain2.com")
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
基于XML的配置
这个配置和上面JAVA方式的第一种作用一样。
同样，你可以做更复杂的配置：
SpringMVC 3 支持跨域
SpringMVC 3不支持以上方法，通过Filter的方式实现。
@Component
public class SimpleCORSFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
chain.doFilter(req, res);
}
public void init(FilterConfig filterConfig) {}
public void destroy() {}
}
web.xml里配置
cors
test.cors.SimpleCORSFilter
cors
/*
Nginx支持跨域请求
需要在配置里添加add_header Access-Control*指令，如
location /{
add_header 'Access-Control-Allow-Origin' 'http://other.subdomain.com';
add_header 'Access-Control-Allow-Credentials' 'true';
add_header 'Access-Control-Allow-Methods' 'GET';
...
the rest of your configuration here
...
}
解决使用@CrossOrigin注解后仍然不能跨域访问的问题
一、@CrossOrigin注解的位置
在controller类上使用，对所有controller中的所有方法都生效
@RestController
@CrossOrigin
public class MyController {
}
在方法上使用，只对该方法生效
@CrossOrigin
@RequestMapping(value = “/test”,method = RequestMethod.POST)
public void test(@RequestBody MultipartFile file){
}
二、使用@CrossOrigin注解后仍然不能跨域访问的解决方法
情形一：在方法上使用@CrossOrigin注解，但@RequestMapping注解中没有指定Get、Post方式，通过method = RequestMethod.POST/GET指定后，问题解决。
情形二：跨域访问响应状态码是405-Method Not Allowed，请求行中指定的请求方法不能被用于请求相应的资源。原因很明显，就是请求不正确，检查代码，使用正确的方式请求。
情形三：查看springboot版本，如果是2.0以后版本，allowCredentials属性的默认值为false，返回的响应头AccessControlAllowCredentials属性值也为false，如果客户端携带cookie的请求这时是不能跨域访问的，所以需要手动在注解中设置allowCredentials为true
@CrossOrigin(allowCredentials = “true”)
spring boot2.0跨域请求@CrossOrigin踩坑
1 . 配置是在Control类上面加注解
@CrossOrigin
@RestController
2.对应的js代码
/*不传参数的请求*/
function sendRequest(url,options){
$.ajax({
url:url,
type:"GET",
async: false, //同步
cache: false,
dataType:"json",
xhrFields: {
withCredentials: true(解决办法就是把true改成false)
},
success: function (response) {
options.success && options.success(response);
},
error: function () {
options.fail && options.fail();
}
});
}
3.IE浏览器调试报错:
信息如下
SEC7121: 将凭据标记设置为 true 时，不允许在 Access-Control-Allow-Origin 中使用通配符。

1.参数加密，h5加密，api接口解密
2.签名算法验签，用户端服务端设计一个签名算法，进行校验
3.针对登录用户，生成一个token，(ip+uid+时间戳)，存在数据库，只在登录期间有效。配合Linux和数据库的权限管理可以防外又防内。ps：(token一段时间需要更新)
4.接口返回尽量是json数据，不返回null，根据需求返回需要的数据。
5.用时间戳和用户uid生成一个token,将接口请求过的token保存 到独立文件，进行校验，如果token相同表示不是正常调用，因为时间戳不可能是相同的。
PHP做APP接口时，如何保证接口的安全性？
1、当用户登录APP时，使用https协议调用后台相关接口，服务器端根据用户名和密码时生成一个access_key，并将access_key保存在session中，将生成的access_key和session_id返回给APP端。
2、APP端将接收到的access_key和session_id保存起来
3、当APP端调用接口传输数据时，将所传数据和access_key使用加密算法生成签名signature，并将signature和session_id一起发送给服务器端。
4、服务器端接收到数据时，使用session_id从session中获取对应的access_key，将access_key和接收到的数据使用同一加密算法生成对应signature，如果生成的签名和接收到的signature相同时，则表明数据合法
列出一些防范SQL注入、XSS攻击、CSRF攻击的方法- SQL注入： addslashes函数 PDO预处理
- XSS：htmlspecial函数
- CSRF：验证HTTP REFER 使用token进行验证
csrf和xss的区别
csrf 跨站请求攻击。验证码、token、检测refer
xss 跨站脚本攻击，htmlspecial过滤用户输入。
解决接口跨域问题：- header('Access_Control_Allow_Origin : '*' ')
- jsonp 客户端发送ajax请求时，声明数据类型和jsonp。同时在服务器端返回的时候要加上json jsonCall
作者：啦啦啦啦96
链接：https://www.jianshu.com/p/90c18e802ebf

public String httpPost(String urlStr,Mapparams){
URL connect;
StringBuffer data = new StringBuffer();
try {
connect = new URL(urlStr);
HttpURLConnection connection = (HttpURLConnection)connect.openConnection();
connection.setRequestMethod("POST");
connection.setDoOutput(true);
connection.setDoInput(true);
connection.setUseCaches(false);//post不能使用缓存
connection.setInstanceFollowRedirects(true);
connection.setRequestProperty("accept", "*/*");
connection.setRequestProperty("connection", "Keep-Alive");
connection.setRequestProperty("user-agent", "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)");
OutputStreamWriter paramout = new OutputStreamWriter(  connection.getOutputStream(),"UTF-8");
String paramsStr = "";   //拼接Post 请求的参数
for(String param : params.keySet()){
paramsStr += "&" + param + "=" + params.get(param);
}
if(!paramsStr.isEmpty()){
paramsStr = paramsStr.substring(1);
}
paramout.write(paramsStr);
paramout.flush();
BufferedReader reader = new BufferedReader(new InputStreamReader(
connection.getInputStream(), "UTF-8"));
String line;
while ((line = reader.readLine()) != null) {
data.append(line);
}
paramout.close();
reader.close();
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return data.toString();
}