配置跨域后,框架帮我们做了什么?

开发 前端
现在绝大多数公司的项目都是前后端分离的,前后端分离后势必会遇到跨域问题。

[[337604]]

跨域问题

现在绝大多数公司的项目都是前后端分离的,前后端分离后势必会遇到跨域问题。如下图

 

继续debug发现,reponse为undefined,提示消息为Network Error。

 

所以当你和前端联调的时候一直请求失败,报网络错误,一般情况下是后端没有做跨域配置。

注意此时并不是后端没有收到请求,而是收到请求了,也返回结果了,但是浏览器将结果拦截了,并且报错。

 

同源策略

那么浏览器为什么会报错呢?

因为浏览器基于安全考虑而引入的同源策略

 

当协议+域名+端口三者都相同时,才不会产生跨域问题,即同源。此时才能读取到服务端的响应

当前url 请求url 是否跨域
https://www.javashitang.com http://www.javashitang.com 是,协议不同
https://www.javashitang.com http://book.javashitang.com 是,域名不同
https://www.javashitang.com http://www.javashitang.com:8000 是,端口不同

为什么要有同源策略呢?

当然是为了安全起见,举个例子,以银行转账为例,看看你的钱是怎么没的

 

这就是著名的CSRF攻击(跨站请求伪造,当然还有很多其他方式),还有如果第5步不对请求的来源进行校验,那么你的钱已经被转走了

html页面中的如下三个标签是允许跨域加载资源的

  1.  <img src=XXX> 
  2.  
  3. <link href=XXX> 
  4.  
  5. <script src=XXX> 

如何解决跨域

虽然同源策略保证了安全,但一些合理的用途也会受到影响。解决跨域的方式有很多种,简单介绍2个

JSONP

JSONP主要是利用<script>标签将请求发送出去,来实现数据的加载,但这种方式有一个缺点,即只能支持GET请求,其他请求都不能支持,因为JSONP这种方式已经很少使用了,所以不做过多的介绍

CROS

非简单请求

在正式的跨域请求前,发送一个OPTIONS请求去询问服务器是否接受接下来的跨域请求,携带如下header

Origin:发起请求原来的域

  • Access-Control-Request-Method:将要发起的跨域请求方式(GET/POST/…)
  • Access-Control-Request-Headers:将要发起的跨域请求中包含的请求头字段

服务器在返回中增加如下header来表明是否允许这个跨域请求。浏览器收到后进行检查如果不符合要求则不会发起后续请求

  • Access-Control-Allow-Origin:允许哪些域来访问(*表示允许所有域的请求)
  • Access-Control-Allow-Methods:允许哪些请求方式
  • Access-Control-Allow-Headers:允许哪些请求头字段
  • Access-Control-Allow-Credentials:是否允许携带Cookie

简单请求

每次都要发送二次请求是不是很麻烦?所以做了优化

当请求方法是HEAD、GET、POST

并且请求头只有如下几个时,被定义为简单请求

  1. Accept 
  2. Accept-Language 
  3. Content-Language 
  4. Last-Event-ID 
  5. Content-Type:(application/x-www-form-urlencoded、multipart/form-data、text/plain) 

简单请求会在请求中加入Origin头,直接发起请求,不会先询问了。后端返回相应的header即可

Spring支持跨域

理解了跨域的本质,再看各种配置其实就是根据请求往reponse中增加header

利用Filter

配置如下Filter,CrossDomainFilter是对javax.servlet.Filter的封装,本质上是一个Filter。

可以看到我多返回了一个header,Access-Control-Max-Age,他表明了询问结果的有效期限,即在3600s之内浏览器可以不必再次询问

  1. @Component 
  2. @WebFilter(filterName = "crossDomain", urlPatterns = "/*"
  3. public class CrossDomainFilter extends OncePerRequestFilter { 
  4.  
  5.     @Override 
  6.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { 
  7.         // 此处可以进行白名单检测 
  8.         if(CorsUtils.isCorsRequest(request)) { 
  9.             response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); 
  10.             response.setHeader("Access-Control-Allow-Credentials""true"); 
  11.             response.setHeader("Access-Control-Allow-Headers", request.getHeader("Access-Control-Request-Headers")); 
  12.             response.setHeader("Access-Control-Allow-Methods", request.getHeader("Access-Control-Request-Method")); 
  13.             response.setHeader("Access-Control-Max-Age""3600"); 
  14.         } 
  15.         // 是个OPTIONS请求,header已设好,不用执行后续逻辑,直接return 
  16.         if(CorsUtils.isPreFlightRequest(request)) { 
  17.             return
  18.         } 
  19.         filterChain.doFilter(request, response); 
  20.     } 

看一下用到的工具类

  1. public abstract class CorsUtils { 
  2.  
  3.     // 请求中有 origin 这个header则返会true 
  4.     public static boolean isCorsRequest(HttpServletRequest request) { 
  5.         return (request.getHeader(HttpHeaders.ORIGIN) != null); 
  6.     } 
  7.  
  8.     public static boolean isPreFlightRequest(HttpServletRequest request) { 
  9.         return (isCorsRequest(request) && HttpMethod.OPTIONS.matches(request.getMethod()) && 
  10.                 request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD) != null); 
  11.     } 
  12.  

利用CorsRegistry

  1. @Configuration 
  2. public class GlobalCorsConfig { 
  3.  
  4.     @Bean 
  5.     public WebMvcConfigurer corsConfigurer() { 
  6.         return new WebMvcConfigurer() { 
  7.             @Override 
  8.             public void addCorsMappings(CorsRegistry registry) { 
  9.                 // 添加映射路径 
  10.                 registry.addMapping("/**"
  11.                         // 允许的域 
  12.                         .allowedOrigins("*"
  13.                         // 允许携带cookie 
  14.                         .allowCredentials(true
  15.                         // 允许的请求方式 
  16.                         .allowedMethods("GET","POST""PUT""DELETE"
  17.                         // 允许的请求头 
  18.                         .allowedHeaders("*"); 
  19.             } 
  20.         }; 
  21.     } 

利用@CrossOrigin注解

支持更细粒度的配置,可以用法方法上或者类上

  1. @RestController 
  2. @RequestMapping("resource"
  3. @CrossOrigin({"http://127.0.0.1:8080"}) 
  4. public class ResourceController 

其他方式支持跨域

看到这你可能会产生疑问,我们的项目中没有跨域的配置啊,怎么还能支持跨域?那估计是把设置header这些活交给网关层来做了。

本文转载自微信公众号「Java识堂」,作者Java识堂 。转载本文请联系Java识堂公众号。

 

责任编辑:武晓燕 来源: Java识堂
相关推荐

2010-03-12 14:28:52

三层交换技术

2020-12-31 08:14:39

VueAxiosJavaScript

2015-08-04 09:33:24

Coding.net

2022-12-26 00:00:01

Go框架前端

2021-11-28 08:32:34

shell命令系统

2019-04-10 10:32:16

CORSNginx反向代理

2022-11-29 21:26:26

跨域配置

2016-11-01 21:51:03

phpjavascript

2016-01-29 10:05:13

酒店服务业大数据大数据分析

2022-09-07 07:05:25

跨域问题安全架构

2021-11-07 14:34:26

跨域网络后端

2021-04-27 15:20:41

人工智能机器学习技术

2021-06-15 07:32:59

Cookie和Sess实现跨域

2019-09-02 07:42:50

nginx服务器跨域

2021-12-30 11:16:31

大数据年终总结APP

2013-04-10 10:13:21

云计算存储

2014-03-26 14:23:36

Microsoft AWindows Azu微软

2018-12-07 15:50:52

Java编程语言框架

2024-05-20 09:28:44

Spring客户端浏览器

2023-02-15 07:03:41

跨域问题面试安全
点赞
收藏

51CTO技术栈公众号