java bug汇总——关于跨域问题
前后端分离项目,非同源地址会发生跨域问题。因此需要解决跨域问题
解决方案:
NGINX解决跨域问题
在网关处解决跨域问题
application.xml配置:
spring:
cloud: # 跨域配置
gateway:
globalcors:
cors-configurations:
'[/**]': # 匹配所有请求
allowedOrigins: "*" #跨域处理 允许所有的域
allowedMethods: # 支持的方法
- GET
- POST
- PUT
- DELETE
网关处新增配置类:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.reactive.CorsWebFilter;
import org.springframework.web.util.pattern.PathPatternParser;
/**
* 跨域允许
*/
@Configuration
public class CorsConfig {
@Bean
public CorsWebFilter corsFilter() {
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true); // 允许cookies跨域
config.addAllowedOrigin("*");// #允许向该服务器提交请求的URI,*表示全部允许,在SpringMVC中,如果设成*,会自动转成当前请求头中的Origin
config.addAllowedHeader("*");// #允许访问的头信息,*表示全部
config.setMaxAge(18000L);// 预检请求的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
config.addAllowedMethod("OPTIONS");// 允许提交请求的方法类型,*表示全部允许
config.addAllowedMethod("HEAD");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
config.addAllowedMethod("DELETE");
config.addAllowedMethod("PATCH");
org.springframework.web.cors.reactive.UrlBasedCorsConfigurationSource source =
new org.springframework.web.cors.reactive.UrlBasedCorsConfigurationSource(new PathPatternParser());
source.registerCorsConfiguration("/**", config);
return new CorsWebFilter(source);
}
}
记录@CrossOrigin发生的问题
在各个微服务对应的Controller,在微服务的Controller中,一般会加上注解@CrossOrigin
当在网关处已经配置了跨域解决时,此时前端会提示:but only one is allowed.
即:重复处理跨域请求
因此只需要去掉这个@CrossOrigin即可
https://blog.csdn.net/wq2323/article/details/120393118
参考:
https://blog.csdn.net/a294634473/article/details/90715903
https://segmentfault.com/a/1190000011145364
https://blog.csdn.net/weixin_45799076/article/details/103770301
SpringCloud项目中解决跨域问题
一. 跨域, 浏览器对于javascript的同源策略的限制 。
1. 以下情况都属于跨域
域名不同 : www.tmall.com 与 www.taobao.com
域名相同,端口不同 : www.tmall.com:8080 与 www.taobao.com:8081
二级域名不同 : item.jd.com 与 miaosha.jd.com
2. 如果域名和端口都相同,但是请求路径不同,不属于跨域,如
www.tmall.com/item 与www.tmall.com/goods
3. http和https也属于跨域
二. 为什么有跨域问题
跨域不一定都会有跨域问题。因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当前页域名相同的路径,这能有效的阻止跨站攻击。因此,跨域问题 是针对ajax的一种限制。
三. 解决跨域问题的方案
目前比较常用的跨域解决方案有3种
- Jsonp
最早的解决方案,利用script标签可以跨域的原理实现。
限制:需要服务的支持, 只能发起GET请求 - nginx反向代理
思路是:利用nginx把跨域反向代理为不跨域,支持各种请求方式
缺点:需要在nginx进行额外配置 - CORS
规范化的跨域请求解决方案,安全可靠。
优势:在服务端进行控制是否允许跨域,可自定义规则, 支持各种请求方式
缺点:会产生额外的请求
四. cors解决跨域问题
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)
, 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制
实现非常简单, SpringMVC已经写好了CORS的跨域过滤器:CorsFilter ,内部已经实现了各种跨域判定逻辑,直接拿来用就好了.
步骤
- 假设已有多个微服务, 注册中心, 网关, 服务提供者和消费者.
- 大部分请求都要经过网关, 所以可以在网关中解决跨域问题.
- 在网关gateway中编写一个配置类,并且注册CorsFilter:
@Configuration
public class testCorsConfig {
@Bean
public CorsFilter corsFilter() {
//1.添加CORS配置信息
CorsConfiguration config = new CorsConfiguration();
//1) 允许的域,不要写*,否则cookie就无法使用了
config.addAllowedOrigin("http://manage.test.com");
//2) 是否发送Cookie信息
config.setAllowCredentials(true);
//3) 允许的请求方式
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("HEAD");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
config.addAllowedMethod("DELETE");
config.addAllowedMethod("PATCH");
// 4)允许的头信息
config.addAllowedHeader("*");
//2.添加映射路径,我们拦截一切请求
UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
configSource.registerCorsConfiguration("/**", config);
//3.返回新的CorsFilter.
return new CorsFilter(configSource);
}
}
1234567891011121314151617181920212223242526272829
4.这样就不会有跨域问题了.
5. 如果有不经过网关的请求到微服务, 可以在微服务中也复制这么一个类即可
https://blog.csdn.net/a294634473/article/details/90715903
Spring Cloud Gateway – Cors解决跨域问题
/**
* 跨域允许
*/
@Configuration
public class Cors {
private static final String MAX_AGE = "18000L";
@Bean
public WebFilter corsFilter() {
return (ServerWebExchange ctx, WebFilterChain chain) -> {
ServerHttpRequest request = ctx.getRequest();
if (CorsUtils.isCorsRequest(request)) {
HttpHeaders requestHeaders = request.getHeaders();
ServerHttpResponse response = ctx.getResponse();
HttpMethod requestMethod = requestHeaders.getAccessControlRequestMethod();
HttpHeaders headers = response.getHeaders();
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, requestHeaders.getOrigin());
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS,"Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");
headers.add(HttpHeaders.ACCESS_CONTROL_EXPOSE_HEADERS, "*");
headers.add(HttpHeaders.ACCESS_CONTROL_MAX_AGE, MAX_AGE);
if (request.getMethod() == HttpMethod.OPTIONS) {
response.setStatusCode(HttpStatus.OK);
return Mono.empty();
}
}
return chain.filter(ctx);
};
}
@Bean
public ServerCodecConfigurer serverCodecConfigurer() {
return new DefaultServerCodecConfigurer();
}
@Bean
public HiddenHttpMethodFilter hiddenHttpMethodFilter() {
return new HiddenHttpMethodFilter() {
@Override
public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
return chain.filter(exchange);
}
};
}
}