我们知道协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略。同源策略不仅是前端的问题。
传统的方法是通过jsonp,或者JS的
JSONP 虽然能解决跨域但是有一个很大的局限性,那就是只支持 GET 请求,不支持其他类型的请求。
这里我们在SpringBoot中使用CORS来解决同源策略
CORS(跨域源资源共享)(CORS,Cross-origin resource sharing)是一个 W3C 标准,一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,这是 JSONP 模式的现代版。
主要的是这里是两个不同的项目,因为它们在要不同端口进行。
两种方式:
1.给每个controller都加上注解,指定它能接受的地址请求。
/**
* @author ZSL
* @ClassName MyController
* @description
* @date 2019/8/9
*/
@RestController
public class MyController {
@GetMapping("/gethello")
@CrossOrigin(value = {"http://localhost:8084","http://localhost:8081"})
public String getCors(){
return "getCors";
}
@PostMapping("/posthello")
@CrossOrigin(value = {"http://localhost:8084","http://localhost:8081"})
public String postCors(){
return "getPost";
}
}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="jquery3.3.1.js"></script>
</head>
<body>
<div id="app"></div>
<input type="button" onclick="btnClick()" value="get_button">
<input type="button" onclick="btnClick2()" value="post_button">
<script>
function btnClick() {
$.get('http://localhost:8080/gethello', function (msg) {
$("#app").html(msg);
});
}
function btnClick2() {
$.post('http://localhost:8080/posthello', function (msg) {
$("#app").html(msg);
});
}
</script>
</body>
</html>
可以指定多路径。
@CrossOrigin表示这两个接口接受来自
http://localhost:8084,http://localhost:8081, 地址的请求,配置完成后,重启 provider ,再次发送请求,浏览器控制台就不会报错了,consumer 也能拿到数据了。
一个个的给controller加上指定接受路径太麻烦了,所以这个也是可以给一个类加上注解的。
2.可以配置全局接受路径,让这个应用下都可以接受指定的路径
/**
* @author ZSL
* @ClassName CorsConfig
* @description
* @date 2019/8/9
*/
@Configuration
public class MyCorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("http://localhost:8084")
.allowedMethods("*")
.allowedHeaders("*")
.maxAge(1800);
}
}
/**表示本应用的所有方法都会去处理跨域请求, allowedMethods 表示允许通过的请求数,allowedHeaders 则表示允许的请求头。经过这样的配置之后,就不必在每个方法上单独配置跨域了。
CSRF(Cross-site request forgery)跨站请求伪造
跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF ,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法.
比如:
你在充值QB的网站是http://qq.com/aa?bb=cc
,在你访问不久,也就是你的信息尚未过期,这时你进入了一个恶意攻击的网站,它有JS的
所以在实际操作中,浏览器会对请求进行分类,分为简单请求,预先请求,带凭证的请求等,
预先请求会首先发送一个 options 探测请求,和浏览器进行协商是否接受请求。
默认情况下跨域请求是不需要凭证的,服务端可以配置要求客户端提供凭证,这样就可以有效避免 csrf 攻击