前言
Springboot跨域問題胳挎,是當(dāng)前主流web開發(fā)人員都繞不開的難題。
但我們首先要明確以下幾點(diǎn)
- 跨域只存在于瀏覽器端壁畸,不存在于安卓/ios/Node.js/python/ java等其它環(huán)境
- 跨域請求能發(fā)出去短蜕,服務(wù)端能收到請求并正常返回結(jié)果,只是結(jié)果被瀏覽器攔截了郭毕。
之所以會跨域,是因?yàn)槭艿搅送床呗缘南拗坪伲床呗砸笤聪嗤拍苷_M(jìn)行通信显押,即協(xié)議、域名偏竟、端口號都完全一致煮落。
瀏覽器出于安全的考慮敞峭,使用 XMLHttpRequest對象發(fā)起 HTTP請求時必須遵守同源策略踊谋,否則就是跨域的HTTP請求,默認(rèn)情況下是被禁止的旋讹。換句話說殖蚕,瀏覽器安全的基石是同源策略。
同源策略限制了從同一個源加載的文檔或腳本如何與來自另一個源的資源進(jìn)行交互沉迹。這是一個用于隔離潛在惡意文件的重要安全機(jī)制睦疫。
目錄
一、什么是CORS鞭呕?
- CORS Header
二蛤育、SpringBoot跨域請求處理方式
- 方法一、直接采用SpringBoot的注解@CrossOrigin(也支持SpringMVC)
- 方法二葫松、處理跨域請求的Configuration
- 方法三瓦糕、采用過濾器(filter)的方式
三、總結(jié)
一腋么、什么是CORS咕娄?
CORS是一個W3C標(biāo)準(zhǔn),全稱是”跨域資源共享”(Cross-origin resource sharing)珊擂,允許瀏覽器向跨源服務(wù)器圣勒,發(fā)出XMLHttpRequest請求费变,從而克服了AJAX只能同源使用的限制。
它通過服務(wù)器增加一個特殊的Header[Access-Control-Allow-Origin]來告訴客戶端跨域的限制圣贸,如果瀏覽器支持CORS挚歧、并且判斷Origin通過的話,就會允許XMLHttpRequest發(fā)起跨域請求吁峻。
CORS Header
Access-Control-Allow-Origin: http://www.xxx.com
Access-Control-Max-Age:86400
Access-Control-Allow-Methods:GET, POST, OPTIONS, PUT, DELETE
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Credentials: true
含義解釋:
| CORS Header屬性 | 解釋 |
|---|---|
| Access-Control-Allow-Origin | 允許www.xxx.com域(自行設(shè)置昼激,這里只是示例)發(fā)起跨域請求 |
| Access-Control-Max-Age | 設(shè)置在86400秒內(nèi)不需要再發(fā)送預(yù)校驗(yàn)請求 |
| Access-Control-Allow-Methods | 設(shè)置允許跨域請求的方法 |
| Access-Control-Allow-Headers | 允許跨域請求包含content-type |
| Access-Control-Allow-Credentials | 設(shè)置允許Cookie |
二、SpringBoot跨域請求處理方式
方法一:
直接采用SpringBoot的注解@CrossOrigin(也支持SpringMVC)
簡單粗暴的方式锡搜,Controller層在需要跨域的類或者方法上加上該注解即可
/**
* Created with IDEA
*
* @Author Chensj
* @Date 2020/5/8 10:28
* @Description xxxx控制層
* @Version 1.0
*/
@RestController
@CrossOrigin
@RequestMapping("/situation")
public class SituationController extends PublicUtilController {
@Autowired
private SituationService situationService;
// log日志信息
private static Logger LOGGER = Logger.getLogger(SituationController.class);
}
但每個Controller都得加橙困,太麻煩了,怎么辦呢耕餐,加在Controller公共父類(PublicUtilController)中凡傅,所有Controller繼承即可。
/**
* Created with IDEA
*
* @Author Chensj
* @Date 2020/5/6 10:01
* @Description
* @Version 1.0
*/
@CrossOrigin
public class PublicUtilController {
/**
* 公共分頁參數(shù)整理接口
*
* @param currentPage
* @param pageSize
* @return
*/
public PageInfoUtil proccedPageInfo(String currentPage, String pageSize) {
/* 分頁 */
PageInfoUtil pageInfoUtil = new PageInfoUtil();
try {
/*
* 將字符串轉(zhuǎn)換成整數(shù),有風(fēng)險(xiǎn), 字符串為a,轉(zhuǎn)換不成整數(shù)
*/
pageInfoUtil.setCurrentPage(Integer.valueOf(currentPage));
pageInfoUtil.setPageSize(Integer.valueOf(pageSize));
} catch (NumberFormatException e) {
}
return pageInfoUtil;
}
}
當(dāng)然肠缔,這里雖然指SpringBoot夏跷,SpringMVC也是同樣的,但要求在Spring4.2及以上的版本明未。
方法二:處理跨域請求的Configuration
增加一個配置類槽华,CorsConfig.java。繼承WebMvcConfigurerAdapter或者實(shí)現(xiàn)WebMvcConfigurer接口趟妥,其他都不用管猫态,項(xiàng)目啟動時,會自動讀取配置披摄。
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
/**
* @author ***
* @date ***
*/
@Configuration
public class CorsConfig implements WebMvcConfigurer {
private static final String[] ORIGINS = new String[] {"GET", "POST", "PUT", "DELETE"};
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods(ORIGINS).maxAge(3600);
}
}
方法三:采用過濾器(filter)的方式
同方法二加配置類亲雪,增加一個CORSFilter 類,并實(shí)現(xiàn)Filter接口即可疚膊,其他都不用管义辕,接口調(diào)用時,會過濾跨域的攔截寓盗。
@Component
public class CORSFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletResponse res = (HttpServletResponse) response;
res.addHeader("Access-Control-Allow-Credentials", "true");
res.addHeader("Access-Control-Allow-Origin", "*");
res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN");
if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
response.getWriter().println("ok");
return;
}
chain.doFilter(request, response);
}
@Override
public void destroy() {
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
}
總結(jié)
以上就是關(guān)于Springboot比較常用的解決跨域問題方式灌砖,希望對老鐵有所幫助。
相關(guān)文章鏈接:
https://zhuanlan.zhihu.com/p/147652844
