SpringBoot解决跨域问题的3种⽅案!
前后端分离⼤势所趋,跨域问题更是⽼⽣常谈,随便⽤标题去google或百度⼀下,能搜出⼀⼤⽚解决⽅案,那么为啥⼜要写⼀遍呢,不急往下看。
问题背景:
Same Origin Policy,译为“同源策略”。它是对于客户端脚本(尤其是JavaScript)的重要安全度量标准,其⽬的在于防⽌某个⽂档或者脚本从多个不同“origin”(源)装载。它认为⾃任何站点装载的信赖内容是不安全的。
当被浏览器半信半疑的脚本运⾏在沙箱时,它们应该只被允许访问来⾃同⼀站点的资源,⽽不是那些来⾃其它站点可能怀有恶意的资源。 注:具有相同的Origin,也即是拥有相同的协议、主机地址以及端⼝。⼀旦这三项数据中有⼀项不同,那么该资源就将被认为是从不同的Origin得来的,进⽽不被允许访问。
CORS就是为了解决SOP问题⽽⽣的,当然CORS不是唯⼀的解决⽅案,不过这⾥不赘述其他解决办法了。
CORS简介:
CORS是⼀个W3C标准,全称是"跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端⼝)服务器,发出XMLHttpRequest请求,从⽽克服了AJAX只能同源使⽤的限制。CORS需要浏览器和服务器同时⽀持。它的通信过程,都是浏览器⾃动完成,不需要⽤户参与。 对于开发者来说,CORS通信与同源的AJAX/Fetch通信没有差别,代码完全⼀样。浏览器⼀旦发现请求跨源,就会⾃动添加⼀些附加的头信息,有时还会多出⼀次附加的请求,但⽤户不会有感觉。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接⼝,就可以跨源通信。
浏览器将CORS请求分成两类:简单请求(simple request)和⾮简单请求(not-so-simple request)。
浏览器发出CORS简单请求,只需要在头信息之中增加⼀个Origin字段。
浏览器发出CORS⾮简单请求,会在正式通信之前,增加⼀次OPTIONS查询请求,称为"预检"请求(preflight)。浏览器先询问服务器,当前⽹页所在的域名是否在服务器的许可名单之中,以及可以使⽤哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。 简单请求就是HEAD、GET、POST请求,并且HTTP的头信息不超出以下⼏种字段 Accept、Accept-L
anguage、Content-Language、Last-Event-ID、Content-Type 注:Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
反之,就是⾮简单请求。
其实实现CORS很简单,就是在服务端加⼀些响应头,并且这样做对前端来说是⽆感知的,很⽅便。
详解响应头:
Access-Control-Allow-Origin 该字段必填。它的值要么是请求时Origin字段的具体值,要么是⼀个*,表⽰接受任意域名的请求。
Access-Control-Allow-Methods 该字段必填。它的值是逗号分隔的⼀个具体的字符串或者*,表明服务器⽀持的所有跨域请求的⽅法。
注意,返回的是所有⽀持的⽅法,⽽不单是浏览器请求的那个⽅法。这是为了避免多次"预检"请求。
Access-Control-Expose-Headers 该字段可选。CORS请求时,XMLHttpRequest对象的getResponseHeader()⽅法只能拿到6个基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必须在Access-Control-Expose-Headers⾥⾯指定。
Access-Control-Allow-Credentials 该字段可选。它的值是⼀个布尔值,表⽰是否允许发送Cookie.默认情况下,不发⽣Cookie,即:false。对服务器有特殊要求的请求,⽐如请求⽅法是PUT或DELETE,或者Content-Type字段的类型是application/json,这个值只能设为true。如果服务器不要浏览器发送Cookie,删除该字段即可。
Access-Control-Max-Age 该字段可选,⽤来指定本次预检请求的有效期,单位为秒。在有效期间,不⽤发出另⼀条预检请求。
顺便提⼀下,如果在开发中,发现每次发起请求都是两条,⼀次OPTIONS,⼀次正常请求,注意是每次,那么就需要配置Access-Control-Max-Age,避免每次都发出预检请求。
解决办法:
第⼀种办法:
import t.annotation.Configuration;
import org.springframework.fig.annotation.CorsRegistry;
import org.springframework.fig.annotation.WebMvcConfigurer;
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
.allowCredentials(true)
.maxAge(3600)
.allowedHeaders("*");
}
}
这种⽅式是全局配置的,⽹上也⼤都是这种解决办法,但是很多都是基于旧的spring版本,⽐如 WebMvcConfigurerAdapter 在spring5.0已经被标记为Deprecated,点开源码可以看到:
/**
* An implementation of {@link WebMvcConfigurer} with empty methods allowing
* subclasses to override only the methods they're interested in.
*
* @author Rossen Stoyanchev
* @since 3.1
* @deprecated as of 5.0 {@link WebMvcConfigurer} has default methods (made
* possible by a Java 8 baseline) and can be implemented directly without the
* need for this adapter
*/
@Deprecated
public abstract class WebMvcConfigurerAdapter implements WebMvcConfigurer {}
像这种过时的类或者⽅法,spring的作者们⼀定会在注解上⾯说明原因,并告诉你新的该⽤哪个,这是⾮常优秀的编码习惯,点赞! spring5最低⽀持到jdk1.8,所以注释中明确表明,你可以直接实现WebMvcConfigurer接⼝,⽆需再⽤这个适配器,因为jdk1.8⽀持接⼝中存在default-method。
Spring Boot 基础就不介绍了,看下这个教程太全了:
github/javastacks/spring-boot-best-practice
第⼆种办法:
import t.annotation.Configuration;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebFilter(filterName = "CorsFilter ")
@Configuration
public class CorsFilter implements Filter {
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin","*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
chain.doFilter(req, res);
}
}
这种办法,是基于过滤器的⽅式,⽅式简单明了,就是在response中写⼊这些响应头,好多⽂章都是第⼀种和第⼆种⽅式都叫你配置,其实这是没有必要的,只需要⼀种即可。
这⾥也吐槽⼀下,⼤家不求甚解的精神。
第三种办法:
public class GoodsController {
@CrossOrigin(origins = "localhost:4000")
@GetMapping("goods-url")
public Response queryGoodsWithGoodsUrl(@RequestParam String goodsUrl) throws Exception {}
}
没错就是**@CrossOrigin**注解,点开注解
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
}
从元注解@Target可以看出,注解可以放在method、class等上⾯,类似RequestMapping,也就是说,整个controller下⾯的⽅法可以都受控制,也可以单个⽅法受控制。
也可以得知,这个是最⼩粒度的cors控制办法了,精确到单个请求级别。
以上三种⽅法都可以解决问题,最常⽤的应该是第⼀种、第⼆种,控制在⾃家⼏个域名范围下⾜以,⼀般没必要搞得太细。
这三种配置⽅式都⽤了的话,谁⽣效呢,类似css中样式,就近原则,懂了吧。简易过滤器
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议