跨域的那些事 - CorsWebFilter 跨域源码分析(二)

最新推荐文章于 2024-04-08 09:13:29 发布
最新推荐文章于 2024-04-08 09:13:29 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 跨域 文章标签: javascript java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fk1778770286/article/details/115734587
版权

前言:

不懂基础的先看下下面的参考文章

参考:https://juejin.cn/post/6844904055148380173

https://juejin.cn/post/6844903678965448718

https://www.ruanyifeng.com/blog/2016/04/cors.html

一、项目准备

spring boot

jdk1.8

IDEA

postman

提供的一个简单的健康检查接口

@RestController
@Slf4j
public class HealthCheckController {
    /**
     * slb 网关http 检查心跳 url
     */
    private static final String HEALTH_CHECK = "/health/check";

    /**
     * slb 网关心跳 检查
     * @return
     */
    @ResponseBody
    @RequestMapping(value = {HEALTH_CHECK}, method = RequestMethod.GET)
    public ALResponse healthCheck(){
        return ALResponse.SUCCESS;
    }
}

@Configuration
public class WebFluxConfiguration implements WebFluxConfigurer {

    /**
     * 跨域访问
     * @return
     */
    @Bean
    public CorsWebFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
//        config.setAllowedOrigins(Collections.singletonList("*"));           // 允许所有请求来源
//        config.setAllowCredentials(true);                                   // 允许发送 Cookie
//        config.addAllowedMethod("*");                                       // 允许所有请求 Method
//        config.setAllowedHeaders(Collections.singletonList("*"));           // 允许所有请求 Header
//        // config.setExposedHeaders(Collections.singletonList("*"));        // 允许所有响应 Header
//        config.setMaxAge(1800L);                                            // 有效期 1800 秒
        
		// 拦截所有请求,并且注释掉了所有需要配置的权限,现在等同于注入一个空配置(未配置任何访问权限许可)
        source.registerCorsConfiguration("/**", config);
        return new CorsWebFilter(source);                                   // 创建 CorsFilter 过滤器
    }
}

二、源码分析

org.springframework.web.cors.reactive.CorsWebFilter#filter

public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
   ServerHttpRequest request = exchange.getRequest();
   if (CorsUtils.isCorsRequest(request)) {		//《1》
      CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(exchange);	//《2》
      if (corsConfiguration != null) {
         boolean isValid = this.processor.process(corsConfiguration, exchange);		//《3》
         if (!isValid || CorsUtils.isPreFlightRequest(request)) {
            return Mono.empty();
         }
      }
   }
   return chain.filter(exchange);
}
1、判断是否是跨域请求,封装跨域访问权限许可
public static boolean isCorsRequest(ServerHttpRequest request) {
   return (request.getHeaders().get(HttpHeaders.ORIGIN) != null);
}

@Override
@Nullable
public CorsConfiguration getCorsConfiguration(ServerWebExchange exchange) {
   PathContainer lookupPath = exchange.getRequest().getPath().pathWithinApplication();
   return this.corsConfigurations.entrySet().stream()
         .filter(entry -> entry.getKey().matches(lookupPath))
         .map(Map.Entry::getValue)
         .findFirst()
         .orElse(null);
}

从Web过滤器开始看起

《1》首先第一步就是判断请求头部是否设置有 Origin ,如果没有设置是直接放行的,不会做任何拦截处理

《2》获取当前请求服务器的权限许可,通俗讲就是根据当前请求path,去查询服务器分配的权限。由于我们没有设置任何权限,所以任何请求都是没有权限的,获取到的空空如也

在这里插入图片描述

《3》核心处理器部分,下面慢慢讲

2、跨域处理

org.springframework.web.cors.reactive.DefaultCorsProcessor#process

public boolean process(@Nullable CorsConfiguration config, ServerWebExchange exchange) {

   ServerHttpRequest request = exchange.getRequest();
   ServerHttpResponse response = exchange.getResponse();

   if (!CorsUtils.isCorsRequest(request)) {		//《1》
      return true;
   }

   if (responseHasCors(response)) {		//《2》
      logger.trace("Skip: response already contains \"Access-Control-Allow-Origin\"");
      return true;
   }

   if (CorsUtils.isSameOrigin(request)) {	//《3》
      logger.trace("Skip: request is from same origin");
      return true;
   }

   boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);	//《4》
   if (config == null) {
      if (preFlightRequest) {
         rejectRequest(response);
         return false;
      }
      else {
         return true;
      }
   }

   return handleInternal(exchange, config, preFlightRequest);		//《5》核心
}

《1》此处为什么要再次判断是否是跨域请求呢。因为防止有多个跨域处理器之间产生干扰

《2》同上,防止已经经过跨域处理器设置过访问许可了 Access-Control-Allow-Origin,如果设置了直接就不处理了

private boolean responseHasCors(ServerHttpResponse response) {
   return response.getHeaders().getFirst(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN) != null;
}

《3》此处是核心判断,判断是否是同源请求,判断依据就是我们上一讲说的三要素:协议、主机、端口。只要三个不完全相等,就算是跨域访问

public static boolean isSameOrigin(ServerHttpRequest request) {
   String origin = request.getHeaders().getOrigin();
   if (origin == null) {
      return true;
   }

   URI uri = request.getURI();
   String actualScheme = uri.getScheme();
   String actualHost = uri.getHost();
   int actualPort = getPort(uri.getScheme(), uri.getPort());
   Assert.notNull(actualScheme, "Actual request scheme must not be null");
   Assert.notNull(actualHost, "Actual request host must not be null");
   Assert.isTrue(actualPort != -1, "Actual request port must not be undefined");

   UriComponents originUrl = UriComponentsBuilder.fromOriginHeader(origin).build();
    
   // 判断 协议、主机、端口。不会转换,拿到是什么就是什么只要三个不完全相等,就算是跨域访问(即使一个用ip,一个用对应的域名,也是不相等的)
   return (actualScheme.equals(originUrl.getScheme()) &&
         actualHost.equals(originUrl.getHost()) &&
         actualPort == getPort(originUrl.getScheme(), originUrl.getPort()));
}

《4》此处主要是判断是否是预请求 HttpMethod.OPTIONS。复杂请求会再真正发起业务请求前,先提前预制一个探针请求,通过预制请求做探针先探测一下是否有范围权限。如果没有就不需要发起真正的业务请求了。

public static boolean isPreFlightRequest(ServerHttpRequest request) {
   return (request.getMethod() == HttpMethod.OPTIONS && isCorsRequest(request) &&
         request.getHeaders().get(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD) != null);
}

《5》这一步比较核心,之前的操作只能算作排雷,可以过滤掉大部分不需要处理的请求

3、DefaultCorsProcessor#handleInternal 核心处理
protected boolean handleInternal(ServerWebExchange exchange,
      CorsConfiguration config, boolean preFlightRequest) {

   ServerHttpRequest request = exchange.getRequest();
   ServerHttpResponse response = exchange.getResponse();
   HttpHeaders responseHeaders = response.getHeaders();

    //《1》
   response.getHeaders().addAll(HttpHeaders.VARY, Arrays.asList(HttpHeaders.ORIGIN,
         HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD, HttpHeaders.ACCESS_CONTROL_REQUEST_HEADERS));

    //《2》
   String requestOrigin = request.getHeaders().getOrigin();
   String allowOrigin = checkOrigin(config, requestOrigin);
   if (allowOrigin == null) {
      logger.debug("Reject: '" + requestOrigin + "' origin is not allowed");
      rejectRequest(response);
      return false;
   }

    //《3》
   HttpMethod requestMethod = getMethodToUse(request, preFlightRequest);
   List<HttpMethod> allowMethods = checkMethods(config, requestMethod);
   if (allowMethods == null) {
      logger.debug("Reject: HTTP '" + requestMethod + "' is not allowed");
      rejectRequest(response);
      return false;
   }

    //《4》
   List<String> requestHeaders = getHeadersToUse(request, preFlightRequest);
   List<String> allowHeaders = checkHeaders(config, requestHeaders);
   if (preFlightRequest && allowHeaders == null) {
      logger.debug("Reject: headers '" + requestHeaders + "' are not allowed");
      rejectRequest(response);
      return false;
   }

    //《5》
   responseHeaders.setAccessControlAllowOrigin(allowOrigin);

   if (preFlightRequest) {
      responseHeaders.setAccessControlAllowMethods(allowMethods);
   }

   if (preFlightRequest && !allowHeaders.isEmpty()) {
      responseHeaders.setAccessControlAllowHeaders(allowHeaders);
   }

   if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {
      responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());
   }

   if (Boolean.TRUE.equals(config.getAllowCredentials())) {
      responseHeaders.setAccessControlAllowCredentials(true);
   }

   if (preFlightRequest && config.getMaxAge() != null) {
      responseHeaders.setAccessControlMaxAge(config.getMaxAge());
   }

   return true;
}

《1》添加响应头 Vary 列表值为 Origin、Access-Control-Request-Method、Access-Control-Request-Headers

在这里插入图片描述

《2》检查请求的 Origin 是否在权限许可范围内,如果不在直接返回 403,一般这一步被拦截,浏览器也会作提示处理

《3》《4》 同上分别判断 Access-Control-Request-Method、Access-Control-Request-Headers 权限是否被许可

《5》经过上面的一系列判断走到底5步的,就是有权限访问的,那么呢,得告知浏览器,请求是被许可的。怎么告诉呢?

通过设置响应头部

Access-Control-Allow-Origin

Access-Control-Allow-Methods

Access-Control-Allow-Headers

Access-Control-Expose-Headers

Access-Control-Allow-Credentials

Access-Control-Max-Age

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NFiA75rt-1618484404419)(typora-user-images/image-20210415171057401.png)]

三、总结

跨域其实是一种应用场景,浏览器为了安全考虑,针对这种场景设置了一套安全机制用来保护网络访问。

浏览器做的事情,仅仅只是将每种请求进行打标(Origin 标识来源),以及对响应数据是否需要给到用户(前端程序)做一定的控制。具体权限下放到被访问到的服务端去设置,需要服务端配合浏览器定义的规范给出所配置的访问权限许可。

简单来说,浏览器负责达打标,以及数据是否要给用户控制;服务端负责对每个请求进行权限控制,是否允许浏览器将数据给到用户,通过浏览器定义的内置规范进行通信

浏览器请求时申请访问权限,需要设置的header信息

Origin

Access-Control-Request-Headers

Access-Control-Request-Method

服务端响应告知客户端,自身的权限许可范围,设置的header信息

Access-Control-Allow-Credentials
Access-Control-Allow-Headers
Access-Control-Allow-Methods
Access-Control-Allow-Origin

上一篇:跨域的那些事 - 使用场景分析(一)

Lewis·fk
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
Web开发中,由于浏览器的同源策略限制,不同源的资源之间无法直接进行交互,这就是所谓的跨域问题。为了克服这一限制,开发者通常会利用HTTP头部的`Access-Control-Allow-Origin`字段来允许特定或所有来源的请求。...
谷歌跨域插件Access-Control-Allow-Origin
02-15
标题中的“谷歌跨域插件Access-Control-Allow-Origin”指的是在谷歌浏览器上使用的扩展程序,用于解决Web开发过程中遇到的跨域问题。跨域是由于浏览器的同源策略(Same-origin policy)引起的,它限制了来自不同源的...
如何配置跨域-跨域解决方案
AdolfQiu的博客
11-21 931
package com.atguigu.gulimall.gateway.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.re...
解决请求跨域问题
chy1984的博客
08-31 1159
目录跨域常见的几种情况跨域常用的解决方案前端vue解决axios的跨域问题后端springboot解决跨域问题   跨域常见的几种情况 域名不同,eg. www.baidu.com、www.mall.baidu.com 使用的端口不同,eg. 80、8080 使用的协议不同,eg. http、https   跨域常用的解决方案 跨域的解决方案很多,可以在前端解决,也可以在后端解决。   前端vue解决axios的跨域问题 1、main.js //axios请求的默认前缀 a
使用 CorsWebFilter 进行 Spring boot 的跨域访问设置
最新发布
anguang1973的专栏
04-08 776
类中的一个方法,用于在 Spring Framework 的跨源资源共享(CORS)配置中设置允许进行跨域请求的源的模式。,你可以为应用中的不同部分定义不同的 CORS 设置。例如,你可能希望允许某些路径的跨域请求携带凭证(如 cookies),而其他路径则不允许。这个过滤器允许你定义哪些源(域、协议和端口)有权访问你的应用资源,哪些 HTTP 方法被允许,哪些头信息可以被包含,以及预检请求的存活时间等。方法时,应该谨慎地编写正则表达式,以确保不会意外地允许不受信任的源进行跨域请求,从而可能导致安全风险。
跨域问题的解决-gateway跨域接解决方案,使用CorsWebFilter
前路无畏的博客
03-11 3523
关于跨域问题请先看我的另一篇文章: https://blog.csdn.net/fsjwin/article/details/114444826 这里再列举出一种编码方式,(注意不是nginx的解决方案)是通过编码的方式告诉浏览器可以跨域访问了。 1. 在网关服务中添加Filter @Component public class MyCorsConfiguration { /** * * @return CorsWebFilter 为愧于的webfilterspring框架
CorsWebFilter解决跨域,OncePerRequestFilter实现登录校验
meser88的博客
04-29 2079
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.reactive.CorsWebFilter; import org.springframework..
SpringBoot跨域Access-Control-Allow-Origin实现解析
08-25
SpringBoot 跨域 Access-Control-Allow-Origin 实现解析 SpringBoot 跨域 Access-Control-Allow-Origin 实现解析是指在 SpringBoot 框架中解决跨域问题的方法。跨域是指不同域名之间相互访问,浏览器不能执行其他...
node跨域转发 express+http-proxy-middleware的使用
08-27
Node 跨域转发是指在 Web 开发中,前端和后端分离,实现跨域资源共享的技术。Express 是一款基于 Node.js 的 Web 应用框架,http-proxy-middleware 是一个 Node.js 代理中间件,用于将客户端请求代理到目标服务器上...
跨域访问---------
05-02
这个方式是有局限性的,因为不同浏览器的跨域设置不相同,甚至相同浏览器不同版本的设置都可能不同,我自己现在都只知道chrome的跨域设置,IE和firefox的看过,但是记不住了,总之,设置浏览器跨域,只适合临时用...
CorsWebFilter 解决跨域请求问题
weixin_45359574的博客
01-27 5503
如在浏览器控制台看到类似于 xxx has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the request resouce.,则是出现了跨域请求问题。CorsWebFilter 可以用于解决跨域请求,配置也很简单。 /** * 跨域请求配置 */ @Configuration public class CorsConfig { @Bean public Cors
拦截器、过滤器、跨域配置
zqy123456_123的博客
12-12 3095
解决单个controller跨域问题,直接在需要跨域的Controller的类上添加 @CrossOrigin 跨域注解即可。一个网关管理多个服务时,设置此配置类对象,可以从网关层面解决多个服务的跨域问题,这就不需要每个服务都写一遍跨域了。,进行跨域设置,'' FilterRegistrationBean ''。当一个模块中controlller过多时,添加注解过于繁琐,可以创建一个配置。
SpringBoot 跨域问题之CorsFilter
fangl1109的博客
08-02 726
在当今的Web开发中,跨域请求成为了无法回避的问题。由于浏览器的同源策略限制,如果我们的后端服务和前端应用不在同一个域名下,那么默认情况下浏览器是不允许跨域请求的。这就导致了在开发过程中可能会遇到跨域请求被浏览器拦截的问题。为了解决跨域请求的问题,我们可以使用CORS跨域资源共享)机制。通过在后端应用中添加相关的CORS头信息,我们可以告诉浏览器允许来自其他域的请求访问我们的接口。在本篇文章中,我们将介绍如何使用Spring Boot来处理跨域请求。
微服务后端配置跨域CorsFilter
Dong_Zi8的博客
05-12 559
CorsFilter 主要用于设置跨域请求的响应头,以允许跨域请求能够被成功处理。Access-Control-Allow-Credentials:是否允许发送 Cookie 等身份凭证;Access-Control-Allow-Methods:允许访问的请求方法;Access-Control-Allow-Headers:允许访问的请求头;Access-Control-Allow-Origin:允许访问的源地址;Access-Control-Max-Age:缓存预检请求的时间。
web跨域
ym563099457的博客
06-02 376
当我们web存在跨域问题时会报如下错: Access to XMLHttpRequest at 'http://localhost:88/api/sys/menu/nav?t=1622640733898' from origin 'http://localhost:8001' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control
springcloud gateway 跨域解决
莫失莫忘的博客
10-23 1335
package com.yhzj.gateway.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguratio...
springcloud gateway诡异间歇性500异常解决】500 Server Error,ConcurrentModificationException: null
热门推荐
龍一騰的专栏
02-19 1万+
springcloud gateway 诡异 间歇性500 异常解决
网关配置全局跨域请求(CorsWebFilter
伍妖捌的小屋
06-24 1702
配置类 @Configuration public class CorsConfig { @Bean public CorsWebFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.addAllowedMethod("*"); config.addAllowedOrigin("*"); config.addAllowed
springboot webflux 跨域示例
weixin_43931625的博客
06-22 934
springbootwebflux跨域示例
MDO4000系列:创新跨域分析解决数字射频系统难题
它集成了四通道500MHz/1GHz带宽数字荧光示波器、16通道逻辑分析仪、多种总线协议分析仪、3GHz/6GHz频谱分析仪以及大于1GHz带宽的调制域分析仪,所有这些功能在统一的时钟和触发机制下协同工作,实现创新的跨域分析。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值