renrenfast请求跨域

问题

在使用renren-fast项目是出现找不到权限，跟代码发现没有找到session。仔细对比请求前端请求时没有带cookies，页面上没有跨域提示，但是问题出在没有cookies导致。多方搜索发现确认跨域问题。

什么是跨域

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

参考文章：什么是跨域

google浏览器cookie安全处理

当出现跨域时，浏览器默认不携带cookie，防止CSRF攻击。

cookie属性SameSite

Cookie 的SameSite属性用来限制第三方 Cookie，从而减少安全风险。

它可以设置三个值。
Strict，Lax，None

1. Strict

   Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。换言之，只有当前网页的 URL 与请求目标一致，才会带上 Cookie。

   Set-Cookie: CookieName=CookieValue; SameSite=Strict;
   这个规则过于严格，可能造成非常不好的用户体验。比如，当前网页有一个 GitHub 链接，用户点击跳转就不会带有 GitHub 的 Cookie，跳转过去总是未登陆状态。

2. Lax

   Lax规则稍稍放宽，大多数情况也是不发送第三方 Cookie，但是导航到目标网址的 Get 请求除外。

   Set-Cookie: CookieName=CookieValue; SameSite=Lax;
   导航到目标网址的 GET 请求，只包括三种情况：链接，预加载请求，GET 表单。详见下表。

   请求类型 示例 正常情况 Lax

   链接	<a href="..."></a>	发送 Cookie	发送 Cookie
   预加载	<link rel="prerender" href="..."/>	发送 Cookie	发送 Cookie
   GET 表单	<form method="GET" action="...">	发送 Cookie	发送 Cookie
   POST 表单	<form method="POST" action="...">	发送 Cookie	不发送
   iframe	<iframe src="..."></iframe>	发送 Cookie	不发送
   AJAX	$.get("...")	发送 Cookie	不发送
   Image	<img src="...">	发送 Cookie	不发送
   

   设置了Strict或Lax以后，基本就杜绝了 CSRF 攻击。当然，前提是用户浏览器支持 SameSite 属性。

3. None

   Chrome 计划将Lax变为默认设置。这时，网站可以选择显式关闭SameSite属性，将其设为None。不过，前提是必须同时设置Secure属性（Cookie 只能通过 HTTPS 协议发送），否则无效。

   下面的设置无效。
   Set-Cookie: widget_session=abc123; SameSite=None

   下面的设置有效。
   Set-Cookie: widget_session=abc123; SameSite=None; Secure

参考文章：Cookie 的 SameSite 属性

关闭浏览器cookes设置，处理跨域

google浏览器输入地址：chrome://flags/

找到SameSite by default cookies选项，选择Disabled

选择下面弹出框：Relaunch 重启浏览器

其余解决方案

前端可以使用一定技术解决跨域问题

后端Spring MVC设置也可以解决跨域问题

Spring Boot 中如何解决跨域问题 ?

跨域可以在前端通过 JSONP 来解决，但是 JSONP 只可以发送 GET 请求，无法发送其他类型的请求，在 RESTful 风格的应用中，就显得非常鸡肋，因此我们推荐在后端通过 （CORS，Cross-origin resource sharing） 来解决跨域问题。这种解决方案并非 Spring Boot 特有的，在传统的 SSM 框架中，就可以通过 CORS 来解决跨域问题，只不过之前我们是在 XML 文件中配置 CORS ，现在可以通过实现WebMvcConfigurer接口然后重写addCorsMappings方法解决跨域问题。

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
                .maxAge(3600);
    }

}

项目中前后端分离部署，所以需要解决跨域的问题。 我们使用cookie存放用户登录的信息，在spring拦截器进行权限控制，当权限不符合时，直接返回给用户固定的json结果。 当用户登录以后，正常使用；当用户退出登录状态时或者token过期时，由于拦截器和跨域的顺序有问题，出现了跨域的现象。 我们知道一个http请求，先走filter，到达servlet后才进行拦截器的处理，如果我们把cors放在filter里，就可以优先于权限拦截器执行。

@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

}

最后问题

renren-fast为何会出现跨域问题目前还不得而知（主要对前端不熟悉），需要继续探讨问题。关闭跨域安全设置只是临时解决方案。

我这个问题本质是跨域导致cookie丢失，权限验证失败。