最近在做一个JavaWeb的项目,遇到请求跨域问题,于是深入了解了这个问题,并进行了总结。
同源策略
要了解跨域请求,就要先了解浏览器的同源策略。
同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的媒介。
同源的定义:如果两个 URL 的 协议(protocol)、端口(port ,如果有指定的话)和 主机(host )都相同的话,则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”。
下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:
URL | 结果 | 原因 |
---|---|---|
http://store.company.com/dir2/other.html | 同源 | 只有路径不同 |
http://store.company.com/dir/inner/another.ht | 同源 | 只有路径不同 |
https://store.company.com/secure.html | 失败 | 协议不同 |
http://store.company.com:81/dir/etc.html | 失败 | 端口不同 ( http:// 默认端口是80) |
http://news.company.com/dir/other.html | 失败 | 主机不同 |
出于安全性,浏览器限制脚本内发起的跨源HTTP请求。 例如,XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源。
那么跨域访问是怎么被禁止的呢?之前我一直以为是前台的跨域访问请求不能发出去,是实现同源策略的浏览器拦截了该请求,但是后来才知道浏览器并没有拦截请求,而是拦截了服务器端返回的响应。即如果服务器未返回正确的响应首部,则请求方不会收到任何数据。所以如果要支持跨域访问,需要浏览器和后台服务同时支持,如果这两个条件不能同时满足,则还是不能支持跨域访问。
可以使用 CORS 来允许跨源访问。CORS 是 HTTP 的一部分,它允许服务端来指定哪些主机可以从这个服务端加载资源。
跨源资源共享(CORS)
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。
整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源通信没有差别,代码完全一样。浏览器一旦发现请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
浏览器将CORS请求分成两类:简单请求和非简单请求。
简单请求不会触发 CORS 预检请求,若请求满足所有下述条件,则该请求可视为“简单请求”:
- 使用下列方法之一:
- GET
- HEAD
- POST
- HTTP的头信息不超出以下几种字段:
- Accept(告知服务器客户端可以处理的内容类型)
- Accept-Language(允许客户端声明它可以理解的自然语言,以及优先选择的区域方言)
- Content-Type(用于指示资源的MIME类型 media type ):仅限于text/plain、multipart/form-data、application/x-www-form-urlencoded
对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。
非简单请求与前述简单请求不同,是“需预检的请求”,这种请求要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器,以获知服务器是否允许该实际请求。"预检请求“的使用,可以避免跨域请求对服务器的用户数据产生未预期的影响。
java后端解决跨域问题方法
1.通过Filter过滤器设置允许跨域
Java类代码:
/*
* 冬日蓝天
* Copyright (c)
*/
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
* 跨域设置
*
* @author 冬日蓝天
* @version 1.0
*/
public class CorsFilter implements Filter {
private static Logger logger = LoggerFactory.getLogger(CorsFilter.class);
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
{
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
// 指定允许其他域名访问
httpResponse.setHeader("Access-Control-Allow-Origin", "*");
// 响应类型
httpResponse.setHeader("Access-Control-Allow-Methods", " GET, POST, OPTIONS");
// 响应头设置
httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, HaiYi-Access-Token,token");
// 响应有效时间
httpResponse.setHeader("Access-Control-Max-Age", "86400");
if("OPTIONS".equals(httpRequest.getMethod())) {
logger.info(Integer.toString(httpResponse.getStatus()));
// httpResponse.setStatus(200);
}
chain.doFilter(request, response);
}
@Override
public void destroy() {
// TODO Auto-generated method stub
}
}
在web.xml中需要添加如下配置:
<!--为了允许跨域访问-->
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>com.wind.nlp.filter.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>