您的位置:首页 - 文章 - Spring Boot - 正文

SpringBoot解决跨域问题

一直被跨域这个问题困扰,今天解决了,记录一下

前言

跨域问题,是web开发都绕不开的难题。但我们首先要明确以下几点

  1. 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境
  2. 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。

之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。

浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。换句话说,浏览器安全的基石是同源策略

同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

什么是跨域请求?

在浏览器上当前访问的网站向另一个网站发送请求获取数据的过程就是跨域请求。

哪些情况造成跨域?
1) 域名不同 (域名访问和ip访问也造成跨域)
http://www.example.com (117.34.1.1)
http://117.34.1.1

http://www.example.com
http://www.case.com

2) 子域名不同
http://www.example.com
http://e.example.com

3) 端口不同
http://www.example.com(:80)
http://www.example.com:8080

4) 协议不同
http://www.example.com
https://www.example.com

什么是CROS?

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。

CORS Header

Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Max-Age:86400
Access-Control-Allow-Methods:GET, POST, OPTIONS, PUT, DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Credentials: true

含义解释:

1、Access-Control-Allow-Origin 允许http://www.xxx.com域(自行设置,这里只做示例)发起跨域请求
2、Access-Control-Max-Age 设置在86400秒不需要再发送预校验请求
3、Access-Control-Allow-Methods 设置允许跨域请求的方法
4、Access-Control-Allow-Headers 允许跨域请求包含content-type
5、Access-Control-Allow-Credentials 设置允许Cookie

filter方式解决跨域

注意的几个点:

1:注解@Configuration

2:动态获取请求域名,String origin = request.getHeader("Origin");

package com.sxpcwlkj.config;
import org.apache.commons.lang3.StringUtils;
import org.springframework.context.annotation.Configuration;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/** * @Description 用于解决跨域问题 * @Author 陕西品创网络 * @Date 2022/04/10 **/
@Configuration
public class AllowOriginFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // TODO 其他处理 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) servletResponse; HttpServletRequest request = (HttpServletRequest) servletRequest; String origin = request.getHeader("Origin"); if (StringUtils.isNotBlank(origin)) { //设置响应头,允许跨域访问 //带cookie请求时,必须为全匹配,不能使用* /** * 表示允许 origin 发起跨域请求。 */ response.addHeader("Access-Control-Allow-Origin", origin); } /** * GET,POST,OPTIONS,PUT,DELETE 表示允许跨域请求的方法 */ response.addHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS, PUT, DELETE"); /** * 表示在86400秒内不需要再发送预校验请求 */ response.addHeader("Access-Control-Max-Age", "86400"); //支持所有自定义头 String headers = request.getHeader("Access-Control-Request-Headers"); if (StringUtils.isNotBlank(headers)) { //允许JSON请求,并进行预检命令缓存 response.addHeader("Access-Control-Allow-Headers", headers); } response.addHeader("Access-Control-Max-Age", "3600"); //允许cookie response.addHeader("Access-Control-Allow-Credentials", "true"); filterChain.doFilter(servletRequest, response); } @Override public void destroy() { // TODO 其他处理 }
}

 

SpringBoot项目解决跨域
在SpringBoot项目中,推崇的都是约定优于配置,尽量少的配置。以下提供两种方式,选其一即可

1、注入重写方法的WebMvcConfigurer

在解决跨域问题上,我们只需要进行注入一个对象,我们对其进行重写其方法即可。

注:整个Application的handler均允许跨域。

CORSConfig.java

@Configuration
public class CORSConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedHeaders("*").allowedMethods("*").allowedOrigins("*"); } }; }
}

 

2、@CrossOrigin

只需要在允许跨域的接口方法上进行添加注解即可,也可以直接在Controller类上添加,表示该Controller所有方法均允许跨域访问。

@Slf4j
@Controller
@CrossOrigin
@EnableConfigurationProperties
public class IndexController { //里面的所有接口都生效
}

为了支持CORS,nginx可以这么配:

location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Max-Age' 1728000; add_header 'Content-Type' 'text/plain; charset=utf-8'; add_header 'Content-Length' 0; return 204; } add_header 'Access-Control-Allow-Origin' '*';add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE';add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Content-Range,Range';add_header 'Access-Control-Expose-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Content-Range,Range';
}

 

 

参考链接
1、同源策略 - 百度百科
2、Spring Boot设置跨域访问
3、我知道的跨域与安全
4、CORS support in Spring Framework
5、CORS跨域 GET、POST、PUT、DELETE等请求

本文原创,作者:西决,其版权均为品创网络所有。如需转载,请注明出处:https://www.sxpcwlkj.com/springbootcros/

发表评论