浏览器跨域请求

Micrle_007

已于 2023-06-10 12:11:51 修改

阅读量881

点赞数 1

分类专栏： Java springboot springMVC 文章标签： java

于 2023-06-10 11:10:22 首次发布

本文链接：https://blog.csdn.net/Maxiao1204/article/details/131139610

版权

Java 同时被 3 个专栏收录

148 篇文章 3 订阅

订阅专栏

springboot

37 篇文章 1 订阅

订阅专栏

springMVC

20 篇文章 0 订阅

订阅专栏

跨域是浏览器的一种同源策略，所以该概念只存在于通过浏览器访问服务里。

如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现请求的url地址,必须与浏览器上的url地址处于同域上,也就是域名,端口,协议相同. 比如:我在本地上的域名是127.0.0.1:8000,请求另外一个域名：127.0.0.1:8001一段数据浏览器上就会报错，这个就是同源策略的保护,如果浏览器对javascript没有同源策略的保护,那么一些重要的机密网站将会很危险

已拦截跨源请求：同源策略禁止读取位于 http://127.0.0.1:8001/SendAjax/ 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）。但是注意，项目2中的访问已经发生了，说明是浏览器对非同源请求返回的结果做了拦截

1|2CORS（跨域资源共享）简介

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。

1|3CORS基本流程

浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。浏览器发出CORS简单请求，只需要在头信息之中增加一个Origin字段。浏览器发出CORS非简单请求，会在正式通信之前，增加一次HTTP查询请求，称为”预检”请求（preflight）。浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的XMLHttpRequest请求，否则就报错。

1|4CORS两种请求详解

只要同时满足以下两大条件，就属于简单请求。

（1) 请求方法是以下三种方法之一： HEAD GET POST （2）HTTP的头信息不超出以下几种字段： Accept Accept-Language Content-Language Last-Event-ID Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件，就属于非简单请求。浏览器对这两种请求的处理，是不一样的

* 简单请求和非简单请求的区别？简单请求：一次请求非简单请求：两次请求，在发送数据之前会先发一次请求用于做“预检”，只有“预检”通过后才再发送一次请求用于数据传输。 * 关于“预检” - 请求方式：OPTIONS - “预检”其实做检查，检查如果通过则允许传输数据，检查不通过则不再发送真正想要发送的消息 - 如何“预检” => 如果复杂请求是PUT等请求，则服务端需要设置允许某请求，否则“预检”不通过 Access-Control-Request-Method => 如果复杂请求设置了请求头，则服务端需要设置允许某请求头，否则“预检”不通过 Access-Control-Request-Headers

支持跨域，简单请求： 服务器设置响应头：Access-Control-Allow-Origin = ‘域名’ 或 ‘*’ 支持跨域，复杂请求： 由于复杂请求时，首先会发送“预检”请求，如果“预检”成功，则发送真实数据。 “预检”请求时，允许请求方式则需服务器设置响应头：Access-Control-Request-Method “预检”请求时，允许请求头则需服务器设置响应头：Access-Control-Request-Headers

关于'服务端接收到预检请求后，分析CORS请求头中的内容，决定是否允许该请求'，这个详细流程和步骤是怎么样的，具体做了哪些检查？

预检请求的目的是为了让服务端知道客户端的跨域请求信息，并决定是否允许这个跨域请求。下面是服务端处理CORS预检请求的详细流程和步骤：

1. 收到CORS预检请求后，服务端首先校验该请求的method是否为OPTIONS，如果不是OPTIONS，则服务端直接返回HTTP错误码 405 Method Not Allowed。

2. 服务端进一步检查CORS请求头中的Origin字段，确认该请求是否来自允许的域名。如果Origin字段不在允许的域名列表中，服务端会直接返回HTTP错误码403 Forbidden。

3. 如果Origin字段在允许的域名列表中，服务端会检查CORS请求头中的Access-Control-Request-Method字段，判断实际请求是否支持该方法。如果服务器端不支持该方法，会直接返回HTTP错误码 405 Method Not Allowed。

4. 如果服务器端支持该方法，继续检查CORS请求头中的Access-Control-Request-Headers字段，确认所有请求头字段是否都被允许。如果有请求头字段没有在服务器端允许的请求头列表中，服务端会拒绝该请求并返回HTTP错误码 403 Forbidden。

5. 如果所有检查都通过了，服务端可以根据配置的跨域策略，通过在响应头中设置Access-Control-Allow-*字段来告诉浏览器可以执行跨域请求。例如，设置Access-Control-Allow-Origin字段为请求头中的Origin值，表示允许该域名跨域访问。

6. 服务端发送响应头信息，告诉浏览器CORS预检请求允许通过。浏览器收到允许的响应头信息后，会发送第二个实际请求，并在请求头中携带CORS相关的信息，服务端接收到这个实际请求后，可以进行正常的数据处理并返回响应数据。

综上所述，服务端在处理CORS预检请求时，需要根据CORS请求头中的Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段，对该跨域请求的域名、方法和请求头信息进行有效性检查，并根据服务端的跨域配置策略，返回恰当的响应头信息来告诉浏览器是否允许该跨域请求。

如果浏览器发送了一个OPTIONS请求，服务端怎么知道是需要校验跨域请求？

当浏览器发送OPTIONS请求时，服务端会检查此请求是否携带了CORS相关的请求头信息。如果携带了跨域请求的请求头信息，则服务端会理解该请求是一次CORS请求，进行进一步的处理。

具体来说，CORS请求头中至少包含了Origin字段，该字段表示请求的源，服务端通过跟自己存储的允许跨域请求的域名列表对比，判断该请求是否允许跨域。

另外，在OPTIONS请求中还会包含Access-Control-Request-Method和Access-Control-Request-Headers两个字段，用于告诉服务端实际请求将使用哪种方法和请求头字段。服务端可以根据这些信息，判断实际请求是否被允许。

如果服务端检查后发现该请求是一次跨域请求，就会根据CORS策略决定是否向浏览器发送响应头信息，告知浏览器是否允许实际请求跨域。如果服务端认为该跨域请求不合法，则会拒绝该请求，不做任何处理或者返回适当的错误信息。

不同的配置CORS的方式：

1.可以通过@Corsorigin注解配置

https://blog.csdn.net/securitit/article/details/113251401

2.可以通过springboot 配置文件里配置，示例如下：

通过配置文件的方式是全局生效，如果想在方法级别控制CORS，就用@Corsorigin注解吧，

这两种方法实现的原理都是通过spring 拦截器实现，大概步骤如下：

/** 在配置文件中很难实现方法级别的跨域请求控制，因为配置文件是全局生效的，无法对单独的方法进行定制。

如果你需要实现方法级别的跨域请求控制，可以考虑使用框架提供的注解或拦截器来进行处理。

以Spring Boot框架为例，你可以在方法上使用@CrossOrigin注解指定方法允许的跨域请求来源，也可以使用拦截器对特定的方法进行跨域请求控制。以下是使用拦截器实现方法级别跨域请求控制的一个例子：
**/

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new CorsInterceptor()).addPathPatterns("/hello");
    }
}

public class CorsInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            CrossOrigin annotation = handlerMethod.getMethodAnnotation(CrossOrigin.class);
            if (annotation != null) {
                String[] allowedOrigins = annotation.origins();
                String origin = request.getHeader("Origin");
                if (Arrays.asList(allowedOrigins).contains(origin)) {
                    response.setHeader("Access-Control-Allow-Origin", origin);
                    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");
                    response.setHeader("Access-Control-Allow-Headers", "content-type");
                    return true;
                }
                response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                return false;
            }
        }
        return true;
    }
}

这个例子中，我们在添加拦截器的方法上指定了拦截的路径为`/hello`，然后在拦截器的preHandle方法中读取被拦截的方法上的@CrossOrigin注解，判断当前请求的来源是否被允许。如果允许，就设置响应头，否则返回403 Forbidden状态码。这样，我们就可以在方法级别上进行跨域请求的控制了。