作者在部署前后端分离项目时遇到跨域问题,虽然本地测试无误,但在服务器上后端数据请求时出现。问题在于SpringBoot过滤器的优先级和跨域请求的SameSite策略。通过设置代理和了解浏览器安全机制,作者找到了临时解决方案,但强调长期安全应使用SameSite=None和HTTPS。
这几天在部署一个前后端分离的项目,使用docker进行部署,在本地测试没有一点问题没有,前脚刚把后端部署到服务器,后脚测试就出现了问题!查看控制台报错提示跨域错误?但是对于静态资源请求,包括登录都没有问题为什么到获取后端数据的时候才开始提示这个问题?
但本身我在本地也处理了跨域问题了啊!为什么还会出现这个问题?难道是我这个处理跨域方法不对,于是我在网络上开始搜索跨域问题解决办法,有人说是post请求之前会先发送一个option请求,必须要对option放行,因为我本身配置了过滤器,所以也有人说是过滤器优先级问题,于是我开始添加相关代码,也加了跨域处理过滤器,并将优先级设为最高。最后参照关于在SpringBoot项目中创建了过滤器后,被拦截下来的请求跨域设置失效的原因及处理_springboot 跨域限制不生效-CSDN博客
大佬的过滤器解决了跨域报错,控制台干干净净,没有任何问题,这可把我乐坏了,直接关电脑洗洗睡了,打算第二天起床将前端部署好以后结束了,但第二天测试发现!为什么还是拿不到数据,明明跨域解决了啊!后来发现是过滤器问题,这个过滤器主要是为了判断用户是否登录,给予请求放行的。排查到这里的时候我已经开始烦躁了,怎么会这样呢?明明登陆了啊!难道是session的问题,因为我将会话内容存储session中,一检查果然是session的问题,我就开始查询,最后将问题锁定到cookie上,查看浏览器JSESSIONID发现并没有次次发生改变,所以也不是浏览器的问题,于是开始查看网络请求,发现
在设置cookie的时候出现了问题,经过查询发现这是谷歌浏览器的一种安全策略,要求跨域请求连接必须安全 可参考Cookie 的 SameSite 跨站限制 - 摸鱼派 (fishpi.cn)
总之在谷歌和Edge测试中都会产生这个问题,所以导致session每次都不同,使用火狐浏览器不会产生问题,但我们肯定希望每个浏览器都可以正常访问呀,所以如何解决呢?我的解决方法是使用一个代理,将请求进行转发这样对于安全策略而言这个请求过程会携带cookie,会将此请求当作普通的请求,使用代理进行转发就可以解决这个问题,但实际上这是不安全的,真正安全的是设置SameSite=None 并使用https协议进行通信,但因为只是自己部署的小项目尝试,并未继续。如果有感兴趣的小伙伴也可以进行尝试,也可以下方留言大家一起探讨。
3301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
