WebSocket 也有跨域问题?如何让 Spring Boot WebSocket 允许跨域连接?

于 2025-04-04 08:00:00 发布
阅读量1.8k 收藏 31
点赞数 44
文章标签: websocket spring boot 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39444768/article/details/146948676
版权
前言

在现代 Web 开发中,跨域问题一直是开发者必须面对的挑战。无论是传统的 HTTP 请求还是实时通信的 WebSocket,浏览器的同源策略(Same-Origin Policy)都可能成为功能实现的拦路虎。许多开发者对 HTTP 的跨域解决方案(如 CORS)已经非常熟悉,但面对 WebSocket 的跨域问题时,常常陷入困惑:“WebSocket 不是基于 TCP 的协议吗?为什么也会有跨域限制?”

本文将深入剖析 WebSocket 的跨域机制,并手把手教你如何通过 Spring Boot 实现安全的 WebSocket 跨域连接。

一、WebSocket 跨域问题的本质

1.1 浏览器安全策略的延伸

WebSocket 协议虽然在传输层基于 TCP,但其握手阶段仍通过 HTTP 完成。浏览器在发起 WebSocket 连接时,会携带 Origin 头字段,标识请求来源。服务器若未明确允许该来源,浏览器会拒绝建立连接。

举个例子:

  • 前端页面部署在 https://client.com

  • WebSocket 服务端地址为 wss://api.server.com/ws
    此时,浏览器会检查 api.server.com 是否允许 client.com 的跨域请求。

1.2 与 HTTP CORS 的差异

HTTP 的跨域通过预检请求(Preflight)和响应头(如 Access-Control-Allow-Origin)实现,而 WebSocket 的跨域处理更为简单:

  1. 握手阶段验证 Origin 头。

  2. 服务器返回 HTTP 101 Switching Protocols 表示接受跨域。

  3. 没有预检请求,直接通过响应头控制权限。

1.3 典型的跨域错误场景

若未正确配置,浏览器控制台会抛出错误:

plaintext

WebSocket connection to 'wss://api.server.com/ws' failed: 
Error during WebSocket handshake: Unexpected response code: 403

二、Spring Boot WebSocket 的跨域解决方案

Spring Boot 提供了两种主流的 WebSocket 实现方案:原生 WebSocket 与 STOMP over WebSocket。以下分别介绍它们的跨域配置方法。

2.1 方案一:原生 WebSocket 跨域配置
2.1.1 实现 HandshakeInterceptor 拦截器

通过拦截握手请求,动态验证 Origin 头:

java

public class CustomHandshakeInterceptor implements HandshakeInterceptor {

    @Override
    public boolean beforeHandshake(ServerHttpRequest request, 
                                   ServerHttpResponse response,
                                   WebSocketHandler wsHandler, 
                                   Map<String, Object> attributes) {
        // 从请求头中获取 Origin
        String origin = request.getHeaders().getOrigin();
        
        // 定义允许的域名列表(可改为从配置读取)
        List<String> allowedOrigins = Arrays.asList("https://client.com", "http://localhost:8080");
        
        if (allowedOrigins.contains(origin)) {
            return true; // 允许握手
        }
        response.setStatusCode(HttpStatus.FORBIDDEN);
        return false; // 拒绝连接
    }

    @Override
    public void afterHandshake(ServerHttpRequest request, 
                               ServerHttpResponse response,
                               WebSocketHandler wsHandler, 
                               Exception exception) {}
}
2.1.2 注册 WebSocket 端点并配置跨域

在配置类中启用 WebSocket 并添加拦截器:

java

@Configuration
@EnableWebSocket
public class WebSocketConfig implements WebSocketConfigurer {

    @Override
    public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) {
        registry.addHandler(new MyWebSocketHandler(), "/ws")
                .addInterceptors(new CustomHandshakeInterceptor())
                .setAllowedOrigins("*"); // 谨慎使用通配符
    }
}
⚠️ 关键注意事项

  • setAllowedOrigins("*") 会允许所有来源,存在安全风险,建议在生产环境中指定具体域名。

  • 若同时使用拦截器和 setAllowedOrigins,拦截器的验证逻辑优先执行。

2.2 方案二:STOMP over WebSocket 跨域配置

对于使用 STOMP 协议的场景(如结合 Spring Messaging),需通过 WebSocketMessageBrokerConfigurer 配置。

2.2.1 基础配置类

java

@Configuration
@EnableWebSocketMessageBroker
public class StompWebSocketConfig implements WebSocketMessageBrokerConfigurer {

    @Override
    public void registerStompEndpoints(StompEndpointRegistry registry) {
        registry.addEndpoint("/stomp/ws")
                .setAllowedOrigins("https://client.com")
                .withSockJS(); // 可选,支持 SockJS 回退
    }

    @Override
    public void configureMessageBroker(MessageBrokerRegistry registry) {
        registry.enableSimpleBroker("/topic");
        registry.setApplicationDestinationPrefixes("/app");
    }
}
2.2.2 动态 Origin 控制

若需根据请求动态判断,可自定义 DefaultHandshakeHandler

java

public class CustomHandshakeHandler extends DefaultHandshakeHandler {

    @Override
    protected boolean validateOrigin(HttpServletRequest request) {
        String origin = request.getHeader("Origin");
        // 自定义验证逻辑(例如查询数据库)
        return isValidOrigin(origin); 
    }
}

// 在配置类中替换默认 Handler
registry.addEndpoint("/stomp/ws")
        .setHandshakeHandler(new CustomHandshakeHandler());

三、进阶:解决常见疑难问题

3.1 场景:Nginx 反向代理导致跨域失败

若服务端通过 Nginx 转发 WebSocket 请求,需确保代理配置正确:

nginx

location /ws/ {
    proxy_pass http://backend;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "Upgrade";
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    # 关键:传递 Origin 头
    proxy_set_header Origin $http_origin; 
}
3.2 场景:Spring Security 拦截 WebSocket 握手

当项目集成 Spring Security 时,需显式放行 WebSocket 端点:

java

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/ws/**").permitAll() // 放行 WebSocket 端点
                .anyRequest().authenticated();
    }
}
3.3 场景:SockJS 的跨域兼容性

使用 SockJS 时,浏览器可能发起 OPTIONS 预检请求,需确保 CORS 配置覆盖:

java

// 针对 /info 端点的预检请求
@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/**")
            .allowedOrigins("https://client.com")
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS");
}

四、安全实践:避免跨域配置中的陷阱

4.1 风险:滥用通配符 * 的后果

  • CSRF 攻击:恶意网站可通过 WebSocket 窃取会话信息。

  • 数据泄露:未授权域名获取实时推送数据。

解决方案

  • 通过环境变量动态加载允许的域名列表。

  • 结合 OAuth 2.0 在握手阶段验证 Token。

4.2 防御:WebSocket 层的身份验证

在握手拦截器中实现权限校验:

java

public boolean beforeHandshake(...) {
    String token = request.getHeaders().getFirst("Authorization");
    if (!jwtService.validateToken(token)) {
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        return false;
    }
    return true;
}

五、测试与验证

5.1 使用 Postman 测试跨域

Postman 支持手动设置 Origin 头:

  1. 新建 WebSocket 请求,URL 输入 wss://api.server.com/ws

  2. 在 Headers 中添加 Origin: https://unauthorized-site.com

  3. 观察连接是否被拒绝

5.2 浏览器端验证

在前端代码中捕获连接错误:

javascript

const socket = new WebSocket('wss://api.server.com/ws');
socket.onerror = (error) => {
    console.log('Connection failed:', error);
};

六、总结

WebSocket 的跨域问题本质上是浏览器安全策略对握手阶段的约束。在 Spring Boot 中,通过合理配置 HandshakeInterceptorWebSocketConfigurer 或 WebSocketMessageBrokerConfigurer,开发者可以灵活控制跨域行为。关键要点包括:

  1. 避免使用通配符,尽量动态验证 Origin。

  2. 区分 HTTP CORS 与 WebSocket 跨域,二者需独立配置。

  3. 结合安全框架,在握手阶段实现身份认证。

通过本文的实践方案,开发者不仅能解决跨域问题,还能构建更健壮的实时通信系统。

附录:常见问题速查表

问题现象可能原因解决方案
连接返回 403 ForbiddenOrigin 未在允许列表中检查 setAllowedOrigins 配置
首次连接成功,重连失败反向代理未保持 WebSocket 头配置 Nginx 的 proxy_set_header
前端控制台报 “Invalid UTF-8”未正确处理二进制消息配置 BinaryType 或使用 STOMP

掌握这些技巧后,WebSocket 跨域将不再是阻碍实时通信的绊脚石。

Websocket访问
此鱼非闲鱼也的博客
04-07 5002
WebSocket 是 HTML5 开始提供的⼀种在单个 TCP 连接上进⾏全双⼯通讯的协议,可以实现访问。 websocket安装命令 npm i ws -S 服务器端: let WebServerSocket = require("ws").Server; let wss = new WebServerSocket({port:8200}); const mysql = require("...
Spring Boot 进阶-Spring Boot中如何解决问题
初学者
10-10 1349
浏览器出于安全考虑,会限制访问,就是不允许请求资源,要求协议,IP和端口必须都相同,其中有一个不同就会产生问题,这就是同源策略。简单的说A应用只能访问A应用对应的后台返回的数据,B应用只能访问B应用后台的数据,如果A应用通过Ajax请求了B应用对应的后台数据的时候就会出现问题。但是在实际开发中,这种调用方式又是被大家广泛使用的。在CORS技术出现之前,在HTTP请求头中不能包含任何的自定义字段,而且HTTP请求信息也不能操作如下的一些Accept。
详解WebSocket问题解决
09-22
主要介绍了详解WebSocket问题解决的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于WebSocket问题
Yihchu'world
10-14 1万+
前话 最近在搞WebSocket,前后端分离,需要解决一下问题,本来也不是什么难事,但是这次就遇到了一些状况。记录一下。 问题 在项目里配置WebSocket需要实现WebSocketMessageBrokerConfigurer接口,而该接口需要实现一个方法,registerStompEndpoints(StompEndpointRegistry registry)。 如果需要,那么有两种方式,一个是setAllowedOrigins,另一个就是setAllowedOriginPatter
sockJs实现的websocket
12-17
解决sockJs实现的websocket问题,后台使用的springboot框架,maven
面试篇:WebSocket协议详解-通信、安全性问题和发展前景
Hanko的专栏
03-31 2152
连接方式:HTTP协议是基于请求和响应的模型,每次客户端需要获取数据时都需要发送一个新的HTTP请求,而WebSocket协议则是一种全双工的协议,在客户端和服务器之间建立一次连接后,双方可以随时发送数据。高并发处理:传统的HTTP协议每次请求都需要建立一个新的连接,而WebSocket协议可以在一个TCP连接上进行多次请求和响应,减少了建立连接的时间和网络资源的消耗,从而提高了服务器的处理效率和吞吐量。其实从图一中可以看出websocket也是存在问题的,但websocket协议没有同源策略的限制。
【9大解决方案】websocket解决的原理
热门推荐
2024路在何方
04-08 3万+
websocket笔记 webSocket本身不存在问题,所以我们可以利用webSocket来进行非同源之间的通信。 websocket如何实现通信? 原理:利用webSocket的API,可以直接new一个socket实例,然后通过open方法内send要传输到后台的值,也可以利用message方法接收后台传来的数据。后台是通过new WebSocket.Server({port:...
spring boot+websocket
04-27
首先,让我们了解Spring BootWebSocket的基本概念。 Spring BootSpring框架的一个简化版,它通过默认配置和自动配置帮助开发者快速创建独立的、生产级别的基于Spring的应用程序。WebSocket是一种在单个TCP连接...
Spring集成webSocket页面访问404问题的解决方法
08-28
Spring集成webSocket页面访问404问题的解决...Spring集成webSocket页面访问404问题的解决方法需要通过在 DispatchServlet 中添加拦截器和配置访问地址时设置连接名地址,以便正确地处理webSocket请求和请求。
Spring Boot-WebSocket相关问题
Flying_Fish_roe的博客
09-15 2122
Spring Boot 提供了强大的 WebSocket 支持,能够方便地构建实时、双向通信的应用程序。然而,在实际开发中,我们可能会遇到各种WebSocket相关的问题,如连接失败、消息传输异常、问题和性能瓶颈。通过正确的配置和优化,这些问题可以得到有效的解决。
spring-boot-websocket-sample-master.zip_spring boot_spring-boot_
09-24
综上所述,"spring-boot-websocket-sample-master"项目展示了如何在Spring Boot中实现WebSocket通信,它包含了从配置WebSocket端点、处理连接事件到实际发送和接收消息的完整流程。通过学习这个示例,开发者可以掌握...
【前端WebSocket如何实现通信?原理、实践与安全指南
最新发布
wujianrenn的博客
03-06 873
WebSocket通过基于Origin字段的握手验证机制,是实时通信需要在服务器端严格校验来源,并结合反向代理、TLS加密等技术保障安全性对于需要高频双向数据交换的应用(如在线协作、实时监控),WebSocket能力将成为关键优势。
websocket解决的原理
包磊磊的博客
08-15 4222
websocket笔记 webSocket本身不存在问题,所以我们可以利用webSocket来进行非同源之间的通信。websocket如何实现通信? 原理:利用webSocket的API,可以直接new一个socket实例,然后通过open方法内send要传输到后台的值,也可以利用message方法接收后台传来的数据。后台是通过new WebSocket.Server({port:3000})实例,利用message接收数据,利用send向客户端发送数据。具体看以下代码: 代码: 本地打开sock
SpringBoot WebSocket 问题
xiaobanv1的专栏
12-25 6046
Problem: 浏览器:GET http://172.20.XX.XX:8080/energy/info 403 ()  后台:org.springframework.web.socket.sockjs.transport.handler.DefaultSockJsService [482] -|  Origin header value 'http://127.0.0.1:8080' n...
:利用JSONP、WebSocket实现访问
qq_68163788的博客
11-12 3513
WebSocket和JSONP都可以用于访问,但它们的实现方式和应用场景不同。 WebSocket是一种基于TCP协议的全双工通信协议,可以在浏览器和服务器之间建立一个持久性的连接,实现实时数据传输。WebSocket协议默认使用80端口(HTTP协议的默认端口)或443端口(HTTPS协议的默认端口),可以避免问题。因此,使用WebSocket可以轻松实现通信。 JSONP是一种通过动态创建script标签,利用浏览器对script标签访问的特性,实现数据传输的技术。
ajax websocket ,从websocket问题想到的
weixin_29582919的博客
08-05 557
websocket!一直以来觉得websocket和ajax应该一样,是不能的。今天查了一下资料,发现websocket是可以的,妥妥被打脸。于是决定好好学习一下websocket。使用node开发一个demo用node做demo再合适不过了,比起java,简单不知道多少。node下有个socket.io的库。是对websocket的包装,据说在浏览器不支持websocket的情况下...
解决Springbootwebsocket问题
sinat_34241861的博客
04-16 6434
WebSocketConfig文件 setAllowedOrigins()方法表示允许连接名,可实现websocket访问 package com.test.testmanagement.config; import org.springframework.context.annotation.Configuration; import org.springframework.messa...
Spring Websocket 访问
小天一直在路上
06-14 3066
官方文档springwebsocket 4.1.5版本前默认支持访问,之后的版本默认不支持,需要设置: .setAllowedOrigins(&quot;*&quot;) &amp;lt;websocket:handlers allowed-orgins=&quot;*&quot;&amp;gt; ... &amp;lt;/websocket:handlers&amp;gt;...
spring boot+websocket
01-10
### 解决Spring Boot WebSocket问题 为了处理Spring Boot中的WebSocket请求,在配置WebSocket时需设置允许的源、方法和其他必要的HTTP头信息。通过自定义`HandshakeInterceptor`拦截器来实现更细粒度控制。 ```java import org.springframework.http.server.ServerHttpRequest; import org.springframework.http.server.ServerHttpResponse; import org.springframework.web.socket.WebSocketHandler; import org.springframework.web.socket.handler.HandshakeInterceptor; import java.util.Map; public class CorsHandshakeInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { if (response instanceof ServletServerHttpResponse) { ((ServletServerHttpResponse) response).getServletResponse() .setHeader("Access-Control-Allow-Origin", "*"); } return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) {} } ``` 接着,注册此拦截器到WebSocket配置类中: ```java @Configuration @EnableWebSocket public class WebSocketConfig implements WebSocketConfigurer { @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myWebSocketHandler(), "/ws/endpoint") .addInterceptors(new CorsHandshakeInterceptor()) .setAllowedOrigins("*"); // 或者指定特定名 ["http://example.com"] } @Bean public WebSocketHandler myWebSocketHandler() { return new MyWebSocketHandler(); } } ``` 上述代码展示了如何创建并应用一个简单的CORS握手拦截器[^1]。这使得服务器能够响应来自任何源的WebSocket连接尝试,并附带适当的CORS头部信息以告知客户端该操作已被许可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zhyoobo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值