微服务设计指导-纠正目前网上近90%以上错误的对于“API跨域”问题的所谓指导

置顶 已于 2022-02-23 17:19:15 修改
阅读量1.1k 收藏 6
点赞数 3
分类专栏: 微服务 文章标签: 跨域 allow-origin CORS 前后端分离跨域问题 springboot跨域
于 2022-02-22 14:17:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifetragedy/article/details/123066537
版权

背景

  • 因为我们是前后台分离的写法;
  • 因为我们用的是VUE/Angelar;
  • 因为我们在开发这套东西时,存在上述两个问题,而Spring Boot2默认是不允许跨域。因此我们开发时经常会发生这样的情况:

我们有一个spring boot controller如下

/**
 * 系统项目名称 org.sky.demo.redisdemo.controller RedisDemoController.java
 * 
 * Jan 15, 2021-2:55:10 PM 2021XX公司-版权所有
 * 
 */
package org.mk.demo.mvc1.api;
import org.mk.demo.mvc1.bean.Student;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;

/**
 * 
 * RedisDemoController
 * 
 * 
 * Jan 15, 2021 2:55:10 PM
 * 
 * @version 1.0.0
 * 
 */
@RestController
@RequestMapping("/demo")
@Api(tags = "demo mvc1")
public class ApiController {
    private Logger logger = LoggerFactory.getLogger(this.getClass());
    
    @ApiOperation(value = "修改学生信息接口", notes = "返回success或者是fail")
    @PostMapping(value = "/updStudent", produces = "application/json")
    @ResponseBody
    public String updStudent(@RequestBody  Student std) {
        logger.info(">>>>>>intp mvc1->updStudent");
        logger.info(">>>>>>name->" + std.getName() + "  age->" + std.getAge());
        return "success";
    }

}

我们有一个vue端的axios提交如下:

/src/utils/request.js

import axios from 'axios'

axios.interceptors.response.use(
  response => {
    const data = response.data
    console.log(data)
  },
  error => {
    console.log('error', error)
  }
)
export const request = axios

HelloWorld.vue

<template>
  <div class="hello">
  <button v-on:click="updateStudent()">跨域访问</button>
  </div>
</template>

<script>
import {request} from '@/utils/request.js'
export default {
  name: 'HelloWorld',
  methods: {
    updateStudent () {
      request.post('http://localhost:9081/demo/updStudent', {
        'name': 'abc',
        'age': 10
      })
    }
  }
}
</script>

 运行后,我们点了一下这个“按钮”,然后我们在浏览器的web console得到了如下这样的“跨域不允许”的报错

 已拦截跨源请求:同源策略禁止读取位于 http://localhost:9081/demo/updStudent 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。状态码:403。

错误的做法来了

/**
 * 系统项目名称 org.mk.demo.skypayment.config.webmvc WebMvcConfig.java
 * 
 * Feb 21, 2022-10:30:19 AM 2022XX公司-版权所有
 * 
 */
package org.mk.demo.config;

import java.util.ArrayList;
import java.util.Collections;
import java.util.List;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 
 * WebMvcConfig
 * 
 * 
 * Feb 21, 2022 10:30:19 AM
 * 
 * @version 1.0.0
 * 
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 跨域配置
     */
    @Value("${project.basePath}")
    private String basePath;

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 允许访问的客户端域名
        List<String> allowedOriginPatterns = new ArrayList<>();

        allowedOriginPatterns.add("*");

        config.setAllowedOrigins(allowedOriginPatterns);
        // 允许服务端访问的客户端请求头
        config.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

改完后我们再去点一下vue端的按钮,哎,请求正常进来了,好了,完事了,上生产了。

然后生产生产,定期有安全扫描,每年还有等保资质审核,等保不过,你网站也别开了就,直接到时可以找个电子厂上班了哈。

一看,哎呀。。。到处API都有这个,然后此时再一看我们的商城相关的系统已经成下面这样了

 任何一根API的改动,就得来一次回归测试。。。一般来说比如说中台系统,几十个模块。。。几千个API,这个改大了。

不改吗。。。如梗在咽喉,唉。。。

正确的做法

因此,我们在一开始碰到这种问题时就需要引起注意,这边只教各位对的做法。而不是简单的什么后台来一句:allow(*),网上90%以上的教程都这种,全是错的

/**
 * 系统项目名称 org.mk.demo.skypayment.config.webmvc WebMvcConfig.java
 * 
 * Feb 21, 2022-10:30:19 AM 2022XX公司-版权所有
 * 
 */
package org.mk.demo.config;

import java.util.ArrayList;
import java.util.Collections;
import java.util.List;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 
 * WebMvcConfig
 * 
 * 
 * Feb 21, 2022 10:30:19 AM
 * 
 * @version 1.0.0
 * 
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 跨域配置
     */

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 允许访问的客户端域名
        List<String> allowedOriginPatterns = new ArrayList<>();
        allowedOriginPatterns.add(basePath);
        //config.setAllowedOriginPatterns(allowedOriginPatterns);
        config.setAllowedOrigins(allowedOriginPatterns);
      
        // 允许服务端访问的客户端请求头
        config.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

 此处的这一句:       

List<String> allowedOriginPatterns = new ArrayList<>();

这一句话就是把你允许访问后台的域名一个个加进去,而我们在设计上应该如下操作:

  1. 把允许的访问的域名,一个个加到以下这个List<String>中,可以用一个mongoDb的collection存所有的“被允许的域名”;
  2. 然后把这个List给到config.setAllowedOrigins(allowedOriginPatterns);

最后,以上代码适合spring boot 2.1~2.3,对于2.4及以后版本上述的config.setAllowedOrigins要写成“config.setAllowedOriginPatterns(allowedOriginPatterns);”

我们来看,正确设置了跨域后的访问吧。

首先,我们在.yml里配置一个允许的跨域访问(这块我为了演示因此配在.yml文件里了,各位生产上一定要按照我的核心设计来做这件事以便于应用上扩展性更好)。

server:
  port: 9081
  tomcat:
    max-http-post-size: -1
  max-http-header-size: 10240000

spring:
  application:
    name: mvc1
  servlet:
    multipart:
      max-file-size: 10MB
      max-request-size: 10MB
swagger:
  enable: false
project:
  basePath: http://localhost:8080

/**
 * 系统项目名称 org.mk.demo.skypayment.config.webmvc WebMvcConfig.java
 * 
 * Feb 21, 2022-10:30:19 AM 2022XX公司-版权所有
 * 
 */
package org.mk.demo.config;

import java.util.ArrayList;
import java.util.Collections;
import java.util.List;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 
 * WebMvcConfig
 * 
 * 
 * Feb 21, 2022 10:30:19 AM
 * 
 * @version 1.0.0
 * 
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 跨域配置
     */
    @Value("${project.basePath}")
    private String basePath;

    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 允许访问的客户端域名
        List<String> allowedOriginPatterns = new ArrayList<>();
        allowedOriginPatterns.add(basePath);

        // config.setAllowedOriginPatterns(allowedOriginPatterns);
        config.setAllowedOrigins(allowedOriginPatterns);
        // config.addAllowedOrigin(serverPort);
        // 允许服务端访问的客户端请求头
        config.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

我们在vue上点一下原来这个按钮,前端什么都不需要动。

看,后台请求进来了。

真实生产环境如果位于“同域”下的各应用不需要使用上述的一个个setAllow

 如果企业用的生产环境是“同域”下的各应用,就不需要上述这一陀“麻烦”了。全部保持默认即可。只有在“跨域”时才会使用。

下面是一个典型的商城+LEGACY+前端+后台运营管理平台(vue/angelar)的接入,通用做法就是把它纳入同域的实际架构例子 。

这也是为什么企业在做商城时,要围绕着商城能申请“泛域名证书”就用泛域名证书的道理。

 

TGITCIC
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C# WebApi CORS跨域问题解决方案
08-27
本篇文章主要介绍了C# WebApi CORS跨域问题解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于vue-cli使用本地API代理解决跨域问题的整个流程
08-15
关于vue-cli使用本地API代理解决跨域问题的整个流程:包括新建项目到跨域获取数据 关于vue-cli使用本地API代理解决跨域问题的整个流程 关于vue-cli使用本地API代理解决跨域问题的整个流程
使用postman等API工具请求接口不会跨域
githubcurry
08-01 3804
可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。根据MDNWebDocs里的定义,跨域是指当一个资源从与该资源本身所在的服务器不同的域或端口不同的域或不同的端口请求一个资源时,资源会发起一个跨域HTTP请求。然而,在postman里面,实际上每发出一个请求,都是在独立请求一个资源,而不是在一个网站返回的页面里,再去请求另外一个网站/端口的资源。也就是说,正常的跨域情况,是你访问了一个A网站,然后这个网站返回的资源里面,请求了B网站/端口的资源,于是就跨域了。...
使用Apifox发送post请求时,django跨域报错
keepsilence_的博客
04-08 688
最后在settings.py文件中把MIDDLEWARE内的。尝试加入corsheaders,没有效果。
已拦截跨源请求:同源策略禁止读取位于 file:///c:/Users/%E6%9D%8E%E5%AE%B6%E8%B1%AA/Desktop/test/data.json 的远程资源。
最新发布
qq_63170044的博客
04-07 653
出现这个问题是因为浏览器的同源策略(Same-Origin Policy)限制了从一个源(origin)加载的文档或脚本与另一个源的资源进行交互。同源策略是浏览器的一个安全特性,用于防止恶意脚本访问和修改其他网站的内容。在您的例子中,您正在尝试通过 Fetch API 从本地文件系统(file:/// 协议)加载一个 JSON 文件。由于 Fetch API 是基于 HTTP 的,而 file:/// 协议并不是 HTTP,因此浏览器将阻止这种跨源请求。
模拟跨域请求
Java技术
03-22 1684
chrome浏览器F12调出开发者工具,在开发者工具界面如下: var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://www.xxx.com/api/action'); xhr.send(null); xhr.onload = function(e) { var xhr = e.target; console.log(xhr.responseText); } ...
允许api支持跨域方法
lee3117的博客
06-29 1045
public class CrossSiteAttribute : System.Web.Http.Filters.ActionFilterAttribute     {         private const string Origin = "Origin";         ///         /// Access-Control-Allow-Origin是HTML5中定义的
Apifox使用-前端接口模拟
打工人
06-28 5627
Apifox使用-前端接口模拟
WebApi跨域问题
qq_39072819的博客
12-30 147
1.在webapi项目上面使用Nuget搜索“microsoft.aspnet.webapi.cors,安装。 2.在App_Start文件夹下面的WebApiConfig.cs文件夹配置跨域 config.EnableCors(new EnableCorsAttribute("*","*","*")); 详见:https://www.jianshu.com/p/e651ff50dc80 ...
nginx服务器通过配置来解决API跨域问题
09-30
主要给大家介绍了关于nginx服务器是如何配置来解决API跨域问题的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Web服务与微服务跨域权限认证设计
11-27
Web服务与微服务跨域权限认证设计:简单实现跨域验证与请求过滤,若要要更为复杂逻辑的验证,可在此设计基础上扩展应用
问题解决:跨域访问错误
dengjiayue的博客
05-09 3406
简单来说就是我在我的桌面的html文件中有访问wsl的域名,然后两个域名不一样,就会触发保护机制,如果这时你的服务端没有添加跨域的许可(对我来说就是添加桌面的html可以访问路径的许可),就会找不到路径返回404。我们可以使用一个中间件函数来处理跨域的验证,因为如果跨域,浏览器要先发送一个请求方法为: OPTIONS的请求来判断,需要返回一个200才会发送剩下的请求,使用我们定义跨域访问许可中间件函数。在相应的时候在setheader函数中添加允许跨域访问的路径(我这里嫌麻烦还是用的*)
Apifox接口测试教程(一)接口测试的原理与工具
软件测试技术资源分享官
05-04 699
❝掌握了http协议,就掌握了接口测试❞笔者在网络上看过不少接口测试教程,一上来就开始讲怎么操作工具,而不告诉读者为什么要这么操作。读者可能照猫画虎成功了,也可能操作失败了但不知为何出错。因此,本文作为接口测试的入门第一课首先会给大家了解到执行接口测试每一步操作的目的和原理,由此大家才能从理论到实践上掌握接口测试,并且熟练之后有自己的创造性发挥。本文所用的接口测试工具为Apifox,请大家在往下读之前先安装注册好工具。
解决 Axios 跨域问题,轻松实现接口调用
LiamHong_的博客
09-15 1万+
Axios 跨域常用的解决方法有 CORS、JSONP、代理等,开发环境可通过代理服务器实现跨域CORS 需要服务端设置 Access-Control-Allow-Origin 响应头,JSONP 只支持 GET 请求。选择适合项目需求的解决方案能够很好地解决跨域问题,保障应用的正常运行。FastAPI 与 Flask:Python Web 两大流行框架综合对比Axios 怎么通过 FormData 对象上传文件?跨源资源共享(CORS) - HTTP | MDN。
ApiFox接口调试出现Invalid CORS request
sqzrb的博客
02-22 2131
网页版的ApiFox浏览器发送请求的限制,使用客户端发送请求试一试吧!卡了我一天。 Invalid CORS request
如何判定API接口是否支持跨域访问
zhishidi的博客
08-03 4797
1.背景 同一个h5页面需要访问多个不同的域名下的地址 2.判定方式 方式一: 在浏览器控制台执行如下代码: var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://XXXX.XXX.com/api/order/query'); // 测试时改为自己的地址 xhr.send(null); xhr.onload = function(e) { var xhr = e.target; console.log(xhr.respo
SpringBoot解决跨域问题
buling_bulink的博客
06-09 2108
SpringBoot解决跨域问题 解决前后端分离的项目出现的跨域问题 ​ 现在很多都是前后端分离的结构,但此结构会导致跨域问题,我曾百度到很多解决方案,有些是要改注解,有些是改内容等等,都没有完整的解决我的问题,有次看到了一个博主写的解决跨域问题的代码和大部分都不一样,适用于我的,但是记不大清楚是哪个博主的了,这里我先将代码粘贴如下: @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter()
双重跨域:Access-Allow-Origin header contains multiple values“*, *”,but only one is allowed
生蛋的公鸡的博客
06-21 1039
spring cloud gateway 多重跨域
前端模拟接口工具推荐——Apifox(mock数据)【图解教程】
热门推荐
朝阳39的博客
09-23 2万+
1. 下载安装Apifox https://www.apifox.cn/# 2. 登录Apifox 可以直接微信扫码登录(新用户扫码后,选择生成新账户) 3. 新建团队 4. 新建项目 新建好后,点击项目名称进入项目。 5. 新建分组 鼠标移动到左侧项目概览上时,会出现新建分组按钮,点击它! 6. 新建接口 鼠标移动到左侧新建的分组上时,会出现新建接口按钮,点击它! 右上角下拉选择“mock服务”后,输入接口地址,接口名称,保存 切换到【高级mock】选项卡,点击“新建期.
fastAPI 跨域问题
05-31
在FastAPI中处理跨域问题的方法与其他Web框架基本相同。你可以使用Starlette提供的中间件来解决跨域问题。 以下是一个使用FastAPI和Starlette中间件处理跨域问题的示例: ```python from fastapi import FastAPI ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TGITCIC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值