cors Java在HttpServletRequest中获取真实来源
我正在构建RESTAPI,启用CORS。由于必须从已知域访问API,所以我必须检查请求的来源是否在“白名单”域中
但我必须100%确定,请求的来源实际上是来源,而不是修改的头
我找到了这个链接: https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name
没有人可以更改标题名称,我可以更改标题信息吗
我正在用Java访问请求,如下所示:
(HttpServletRequest) request.getHeader("origin")
我就是这样做的吗
# 1 楼答案
Spring具有出色的开箱即用支持来处理跨源请求,这些请求可以通过xml或java配置使用
此外,配置可以是全局的(通过
CorsRegistry
)或特定于控制器的(@CrossOrigin
)以进行粒度控制看看here和here,它们有关于如何开始以及如何工作的详细信息