1.跨域请求
由于安全原因,浏览器都遵循着同源原则,拦截了不同域名之间的请求。跨域请求,是指能让不同域名之间,可以相互发送请求。下面是Mozilla的介绍:.
当它请求的一个资源是从一个与它本身提供的第一个资源的不同的域名时,一个资源会发起一个跨域HTTP请求(Cross-siteHTTP request)。
比如说,域名A ( http://domaina.example ) 的某 Web 应用程序中通过< img>标签引入了域名B( http://domainb.foo ) 站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。
在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。
正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用XMLHttpRequest 对象向其加载的源域名发起HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest
发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)
一般在SpringBoot框架中会配置下面的代码:
@Configuration
publicclassCorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedOrigin("*"); // 1
corsConfiguration.addAllowedHeader("*"); // 2
corsConfiguration.addAllowedMethod("*"); // 3
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source= new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**",buildConfig()); // 4
returnnew CorsFilter(source);
}
}
允许任何域名使用
允许任何头
允许任何方法(post、get等)
问题来了,在响应一个携带身份信息(Credential)的HTTP请求时,Access-Control-Allow-Origin必需指定具体的域,不能用通配符,只能将跨域配置到过滤器中。
2.过滤器
用filter拦截每次请求,如果携带身份信息(Credential)时,获取到具体的域响应给请求。
代码如下:
@Configuration
public classCommonConfig {
private finalLogger logger = LoggerFactory.getLogger(this.getClass());
private static finalString LOGIN_API = "/user/login";
private static finalString LOGOUT_API = "/user/logout";
private static finalString NOTIFY_URL = "/testNotifyUrl";
private finalObjectMapper objectMapper = newObjectMapper();
@Bean
publicFilterRegistrationBean registFilter() {
FilterRegistrationBeanregistration = newFilterRegistrationBean();
registration.setFilter(newFilter() {
@Override
public voidinit(FilterConfig filterConfig) throwsServletException {
logger.info("过滤器init!");
}
@Override
public voiddoFilter(ServletRequest request,ServletResponse response,FilterChain chain) throwsIOException, ServletException {
HttpServletResponsehttpResponse = (HttpServletResponse) response;
allowCrossAccess((HttpServletRequest)request, httpResponse);
HttpServletRequestreq = (HttpServletRequest) request;
Useruser = (User) req.getSession().getAttribute(CreditPomeloConstants.SIGNED_USER);
Stringuri = req.getRequestURI();
logger.info("doFilteruri: {}", uri);
if (null != user || uri.endsWith(LOGIN_API) || uri.endsWith(LOGOUT_API) || uri.endsWith(NOTIFY_URL)) { // 已登录过,或者访问登录地址
chain.doFilter(request, response);
}else { // 没登录过
httpResponse.setCharacterEncoding("UTF-8");
httpResponse.setContentType("application/json;charset=utf-8");
//httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
PrintWriterout = httpResponse.getWriter();
out.write(objectMapper.writeValueAsString(ApiResult.create(401,"请先登录")));
out.flush();
out.close();
}
}
@Override
public voiddestroy() {
logger.info("过滤器destroy!");
}
});
registration.addUrlPatterns("/*");
registration.setOrder(1);
return registration;
}
protected voidallowCrossAccess(HttpServletRequest request,HttpServletResponse response) {
// String allowOrigin = "*";
String allowOrigin = request.getHeader("Origin");
String allowMethods = "GET,PUT, POST, DELETE";
String allowHeaders = "Origin,No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified,Cache-Control, Expires, Content-Type, X-E4M-With";
response.addHeader("Access-Control-Allow-Credentials", "true");
response.addHeader("Access-Control-Allow-Headers", allowHeaders);
response.addHeader("Access-Control-Allow-Methods", allowMethods);
response.addHeader("Access-Control-Allow-Origin", allowOrigin);
}
}