网站首页 > java教程 正文
上周帮一家公司优化代码时,顺手把跨域的问题解决了, 这篇文章,我们聊聊 SpringBoot 项目处理跨域的四种技巧 。
1 什么是跨域
我们先看下一个典型的网站的地址:
同源是指:协议、域名、端口号完全相同。
下表给出了与 URL
http://www.training.com/dir/page.html 的源进行对比的示例 :
当用户通过浏览器访问应用(http://admin.training.com)时,调用接口的域名非同源域名(http://api.training.com),这是显而易见的跨域场景。
2 理解 CORS
CORS 是一个 W3C 标准,全称是"跨域资源共享"(Cross-origin resource sharing), 它需要浏览器和服务器同时支持他,允许浏览器向跨源服务器发送XMLHttpRequest请求,从而克服 AJAX 只能同源使用的限制。
跨域资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。
规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。
服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。
01 简单请求
当请求同时满足如下条件时,CORS验证机制会使用简单请求, 否则CORS验证机制会使用预检请求。
- 使用GET、POST、HEAD其中一种方法;
- 只使用了如下的安全首部字段,不得人为设置其他首部字段;
- Accept
- Accept-Language
- Content-Language
- Content-Type 仅限三种之一:text/plain,multipart/form-data,application/x-www-form-urlencoded:
- HTML头部 header field字段:DPR、Download、Save-Data、Viewport-Width、WIdth
- 请求中的任意 XMLHttpRequestUpload 对象均没有注册任何事件监听器;XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问;
- 请求中没有使用 ReadableStream 对象。
简单请求模式,浏览器直接发送跨域请求,并在请求头中携带 Origin 的头,表明这是一个跨域的请求。 服务器端接到请求后,会根据自己的跨域规则,通过
Access-Control-Allow-Origin 和
Access-Control-Allow-Methods 响应头,来返回验证结果。
02 预检请求
浏览器在发现页面发出的请求非简单请求,并不会立即执行对应的请求代码,而是会触发预先请求模式。预先请求模式会先发送preflight request(预先验证请求),preflight request是一个 OPTION 请求,用于询问要被跨域访问的服务器,是否允许当前域名下的页面发送跨域的请求。在得到服务器的跨域授权后才能发送真正的 HTTP 请求。
OPTIONS 请求头部中会包含以下头部:
服务器收到 OPTIONS 请求后,设置头部与浏览器沟通来判断是否允许这个请求。
如果 preflight request 验证通过,浏览器才会发送真正的跨域请求。
3 Nginx 配置
我们可以不用配置 SpringBoot 项目,可以在反向代理层 Nginx 配置 Cros ,典型配置如下图:
4 配置类实现 addCorsMapping 接口
SpringBoot 中新增一个配置类 CorsConfig.java,继承 WebMvcConfigurerAdapter 或者实现WebMvcConfigurer 接口,项目启动后,会自动读取配置。
5 CorsFilter 过滤器模式
下图是 SpringMvc 模式里,过滤器,拦截器,控制器的执行顺序。
CorsFilter 过滤器模式的优点是:优先级高,可以规避代码中业务拦截器异常导致 adCorsMappings 方法失效的问题。
我们需要定义一个 corsFilter 方法,@Bean 注解表示此方法返回一个Spring Bean,该 Bean 将由Spring 容器管理。
corsFilter() 方法定义了一个 FilterRegistrationBean,这个 bean 是用来注册 CorsFilter 的,后者用于处理 CORS 请求。
6 网关模式
在微服务架构体系中,网关是非常核心的组件。 API 网关可以做鉴权,限流,灰度等,同时可以配置 CORS 。内部服务端不用特别关注跨域这个问题。
因此假如是 SpringCloud 体系,我们只需要配置 SpringCloud gateway 的跨域即可。
- https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CORS
猜你喜欢
- 2025-03-23 别再问Cookie了,再问就崩溃了!(别再问我disco是什么 歌词)
- 2025-03-23 Vue整合Node.js,直连Mysql数据库进行CURD操作
- 2025-03-23 深度解析 Spring Boot 3 与 GraphQL 的整合:解锁高效后端开发新姿势
- 2025-03-23 熬夜彻底搞懂Cookie Session Token JWT
- 2025-03-23 工作中,如何解决跨域问题?(跨域问题解决方法)
- 2025-03-23 springboot(二十八)stomp在spring5.3以上报跨域问题的处理
- 2025-03-23 JQuery ajax jsonp 跨域理解(jquery怎么解决跨域)
- 2025-03-23 Spring Boot跨域问题终极解决方案:3种方案彻底告别CORS错误
- 2025-03-23 前后端分离session问题(前后端分离后前端怎么请求)
- 2025-03-23 解决跨域问题的8种方法,含网关、Nginx和SpringBoot~
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)