Web —— @CrossOrigin实现跨域原理

最新推荐文章于 2022-05-18 14:22:45 发布
最新推荐文章于 2022-05-18 14:22:45 发布
阅读量695 收藏 1
点赞数 1
分类专栏: 网络相关 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41485724/article/details/119350887
版权

目录

零、上篇回顾

Web —— 何为跨域?为何出现?如何解决?

一、SpringMVC执行流程

让我们先来回顾一下SpringMVC执行流程,其中CORS的实现主要在HandlerMapping实现。 image

二、HanndlerMapping中如何实现CORS? —— 基于Spring 5.3.9 版本

1. AbstractHandlerMapping

AbstractHandlerMapping类是HanndlerMapping接口的实现类,我们来看看他有哪些CORS相关的属性及方法。

    private CorsProcessor corsProcessor = new DefaultCorsProcessor();
    
    public void setCorsProcessor(CorsProcessor corsProcessor) {
        Assert.notNull(corsProcessor, "CorsProcessor must not be null");
        this.corsProcessor = corsProcessor;
    }

    public CorsProcessor getCorsProcessor() {
        return this.corsProcessor;
    }
    
    // 内部类---------------------------------------------------------
    private class PreFlightHandler implements HttpRequestHandler, CorsConfigurationSource {
        @Nullable
        private final CorsConfiguration config;

        public PreFlightHandler(@Nullable CorsConfiguration config) {
            this.config = config;
        }

        public void handleRequest(HttpServletRequest request, HttpServletResponse response) throws IOException {
            AbstractHandlerMapping.this.corsProcessor.processRequest(this.config, request, response);
        }

        @Nullable
        public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
            return this.config;
        }
    }
    private class CorsInterceptor implements HandlerInterceptor, CorsConfigurationSource {
        @Nullable
        private final CorsConfiguration config;

        public CorsInterceptor(@Nullable CorsConfiguration config) {
            this.config = config;
        }
        
        // ----------------核心方法2----------------
        public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
            WebAsyncManager asyncManager = WebAsyncUtils.getAsyncManager(request);
            return asyncManager.hasConcurrentResult() ? true : AbstractHandlerMapping.this.corsProcessor.processRequest(this.config, request, response);
        }

        @Nullable
        public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
            return this.config;
        }
    }
    
    // ----------------核心方法1----------------
    protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, @Nullable CorsConfiguration config) {
        if (CorsUtils.isPreFlightRequest(request)) {
            HandlerInterceptor[] interceptors = chain.getInterceptors();
            return new HandlerExecutionChain(new AbstractHandlerMapping.PreFlightHandler(config), interceptors);
        } else {
            chain.addInterceptor(0, new AbstractHandlerMapping.CorsInterceptor(config));
            return chain;
        }
    }

2. CorsProcessor类

上面我们提到当执行getCorsHandlerExecutionChain方法时,若是CORS请求,则在 拦截器处理链链首 添加CORS拦截器。
chain.addInterceptor(0, new AbstractHandlerMapping.CorsInterceptor(config));
CorsInterceptor拦截器为内部类,其核心方法为preHandle,主要是调用了this.corsProcessor.processRequest(this.config, request, response)
CorsProcessor只是接口,其具体实现类为DefaultCorsProcessor。
DefaultCorsProcessor.processRequest具体实现如下

    public boolean processRequest(@Nullable CorsConfiguration config, HttpServletRequest request, HttpServletResponse response) throws IOException {
        // 对于CORS请求,需要通过CORS相关Header帮助判断是否直接返回缓存即可
        Collection<String> varyHeaders = response.getHeaders("Vary");
        if (!varyHeaders.contains("Origin")) {
            response.addHeader("Vary", "Origin");
        }
        if (!varyHeaders.contains("Access-Control-Request-Method")) {
            response.addHeader("Vary", "Access-Control-Request-Method");
        }
        if (!varyHeaders.contains("Access-Control-Request-Headers")) {
            response.addHeader("Vary", "Access-Control-Request-Headers");
        }
        
        // 这部分检测如果不是CORS请求,则直接返回true
        if (!CorsUtils.isCorsRequest(request)) {
            return true;
        } else if (response.getHeader("Access-Control-Allow-Origin") != null) {
            // 如果已经存相关HEADER,代表前面已经有Filter/Inteceptor进行了CORS相关设置
            logger.trace("Skip: response already contains \"Access-Control-Allow-Origin\"");
            return true;
        } else {
            // 判断是否为CORS预检请求——OPTIONS方法
            boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
            if (config == null) {
                if (preFlightRequest) {
                    this.rejectRequest(new ServletServerHttpResponse(response));
                    return false;
                } else {
                    return true;
                }
            } else {
                // 处理逻辑核心,请看具体实现
                return this.handleInternal(new ServletServerHttpRequest(request), new ServletServerHttpResponse(response), config, preFlightRequest);
            }
        }
    }
    
    
    // handleInternal具体实现
    protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response, CorsConfiguration config, boolean preFlightRequest) throws IOException {
        String requestOrigin = request.getHeaders().getOrigin();
        String allowOrigin = this.checkOrigin(config, requestOrigin);       // 判断是否匹配Origin,不匹配则返回null
        HttpHeaders responseHeaders = response.getHeaders();
        if (allowOrigin == null) {                                          // 这里代表未成功匹配Origin,拒绝请求
            logger.debug("Reject: '" + requestOrigin + "' origin is not allowed");
            this.rejectRequest(response);
            return false;
        } else {
            HttpMethod requestMethod = this.getMethodToUse(request, preFlightRequest);
            List<HttpMethod> allowMethods = this.checkMethods(config, requestMethod);
            if (allowMethods == null) {
                logger.debug("Reject: HTTP '" + requestMethod + "' is not allowed");
                this.rejectRequest(response);
                return false;
            } else {
                // -----------------!!! 真正添加CORS 相关 Header 参数的位置 !!!-----------------
                List<String> requestHeaders = this.getHeadersToUse(request, preFlightRequest);
                List<String> allowHeaders = this.checkHeaders(config, requestHeaders);
                if (preFlightRequest && allowHeaders == null) {
                    logger.debug("Reject: headers '" + requestHeaders + "' are not allowed");
                    this.rejectRequest(response);
                    return false;
                } else {
                    // -----------------!!! 设置Access-Control-Allow-Origin !!!-----------------
                    responseHeaders.setAccessControlAllowOrigin(allowOrigin);
                    if (preFlightRequest) {
                    // -----------------!!! 设置Access-Control-Allow-Methods !!!-----------------
                        responseHeaders.setAccessControlAllowMethods(allowMethods);
                    }
                    // -----------------!!! 设置Access-Control-Expose-Headers !!!-----------------
                    if (preFlightRequest && !allowHeaders.isEmpty()) {
                        responseHeaders.setAccessControlAllowHeaders(allowHeaders);
                    }
                    // -----------------!!! 设置Access-Control-Expose-Headers !!!-----------------
                    if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {
                        responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());
                    }
                    // -----------------!!! 设置Access-Control-Allow-Credentials !!!-----------------
                    if (Boolean.TRUE.equals(config.getAllowCredentials())) {
                        responseHeaders.setAccessControlAllowCredentials(true);
                    }
                    // -----------------!!! 设置Access-Control-Max-Age !!!-----------------
                    if (preFlightRequest && config.getMaxAge() != null) {
                        responseHeaders.setAccessControlMaxAge(config.getMaxAge());
                    }

                    response.flush();
                    return true;
                }
            }
        }
    }

补充知识: HTTP Header 中 Vary字段作用
Vary HTTP 响应头决定如何满足未来的请求头,以决定一个缓存的响应是否可以使用,而不是请求从源服务器一个新的一个。
Vary的意义在于告诉代理服务器/缓存/CDN,如何判断是否直接返回缓存资源即可。比如Vary中有User-Agent,那么即使相同的请求,如果用户使用IE打开了一个页面,再用Fir> efox打开这个页面的时候,CDN/代理会认为是不同的页面,如果Vary中没有User-Agent,那么CDN/代理会认为是相同的页面,直接给用户返回缓存的页面,而不会再去web服务器请求相应的页面。

三、思考

  1. Spring Web 5.3.9版本CORS是通过CorsInterceptor实现的,CorsInterceptor实现了HandlerInterceptor接口,因此可知其实际是通过拦截器实现的。那么在Spring Web中,Filter和InterceptorInterceptor的区别是什么?

1.过滤器:
  依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据.
  比如:在过滤器中修改字符编码;在过滤器中修改 HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等

2.拦截器:
  依赖于web框架,在SpringMVC中就是依赖于SpringMVC框架。在实现上基于Java的反射机制,属于面向切面编程(AOP)的一种运用。由于拦截器是基于web框架的调用.
  因此可以使用spring的依赖注入(DI)进行一些业务操作,同时一个拦截器实例在一个controller生命周期之内可以多次调用。但是缺点是只能对controller请求进行拦截,对其他的一些比如直接访问静态资源的请求则没办法进行拦截处理。

  1. Filter和Interceptor执行顺序?Interceptor链先执行还是Filter链先执行?
    首先,Filter是基于Servlet的,通过即< url-pattern >/hello< /url-pattern >标签产生关联,其他相关标签是< serlvet-mapping >和< filter-mapping标签 >。
<servlet-mapping>  
    <servlet-name>servlet</servlet-name>  
    <url-pattern>/hello</url-pattern>  
    <url-pattern>/world</url-pattern>
    <url-pattern>/home1</url-pattern> 
</servlet-mapping> 

<filter-mapping>
    <filter-name>filter</filter-name>
    <url-pattern>/hello</url-pattern>
    <url-pattern>/home2</url-pattern>  
</filter-mapping>

而Interceptor是基于MVC的,相关xml配置。

<!-- 拦截器 -->  
  <mvc:interceptors>  
      <!-- 对所有请求都拦截,公共拦截器可以有多个 -->  
      <bean name="baseInterceptor" class="com.scorpios.interceptor.BaseInterceptor" />  
    
    <mvc:interceptor> 
        <!-- 对/test.html进行拦截 -->       
          <mvc:mapping path="/test.html"/>  
          <!-- 特定请求的拦截器只能有一个 -->  
          <bean class="com.scorpios.interceptor.TestInterceptor" />  
      </mvc:interceptor>  
  </mvc:interceptors>

Filter的执行是有先后顺序的,根据在web.xml中配置的先后顺序。其主要有三个方法init、doFilter、destory,我们主要关注doFilter方法,在这个方法中chain.doFilter会将请求及响应发送给下一个Filter,我们在这句调用前执行前置操作及后置操作即可。

public class LoggerFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("初始化参数,在创建Filter时自动调用,当我们需要设置初始化参数的时候,可以写到该方法中");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String contextPath = request.getServletContext().getContextPath();
        System.out.println("执行Filter前置操作");
        chain.doFilter(request, response);
        System.out.println("执行Filter后置操作");
    }

    @Override
    public void destroy() {
        System.out.println("在销毁Filter时自动调用");
    }
}

最后来点图片帮助理解 (图片来自参考资料的文章中)。

image

image

参考资料:
https://blog.csdn.net/chenleixing/article/details/44573495
https://www.jianshu.com/p/1b61e5556521
https://www.jb51.net/article/211240.htm

风清月明.
关注
专栏目录
@CrossOrigin解决跨域问题
f2634825250的博客
04-10 327
配置类 @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addC...
秒杀系统——注册验证码跨域Session不共享问题
weixin_48610702的博客
08-16 523
秒杀系统——注册验证码跨域Session不共享问题 一、原因 这里注册验证码跨域Session不共享问题的原因是因为前后端分离, 二、解决方法
Spring @CrossOrigin 注解原理实现
08-18
主要介绍了Spring @CrossOrigin 注解原理实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
@CrossOrigin注解解决跨域问题
Mr__simon的博客
04-04 395
首先,springMVC的版本要在4.2或以上版本才支持@CrossOrigin 关于跨域的几种解决方案: 通过jsonp跨域: JSONP实现跨域请求的原理简单的说,就是动态创建< script>标签,然后利用< script>的src不受同源策略约束来跨域获取数据 使用代理服务器: 使用代理方式跨域更加直接,因为同源限制是浏览器实现的。如果请求不是从浏览...
@CrossOrigin及其实现跨域原理
cristianoxm的博客
05-18 9395
一、关于什么是跨域及解决方法看这篇文章 文章 二、关于@CrossOrigin 简单请求和非简单请求 对于简单请求(GET,HEAD,POST),浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为预检请求 (preflight) @Cro
ASP.NET Core微服务(三)——【跨域配置】——对应练习demo(跨域)
02-08
首先,我们需要理解什么是CORS(Cross-Origin Resource Sharing,跨源资源共享)。CORS是W3C制定的一个标准,它通过添加额外的HTTP头部来告诉浏览器哪些跨域请求是允许的。在ASP.NET Core中,我们可以通过`Microsoft...
ASP.NET WebAPI2复杂请求跨域设置的方法介绍
10-15
ASP.NET WebAPI2 的跨域设置可以通过配置 Web.config 或启用 CORS 中间件实现。对于复杂请求,需要额外处理 OPTIONS 请求。确保正确设置跨域策略,可以避免浏览器因同源策略引发的错误,从而确保前后端之间的数据...
Web前端——跨域问题
m0_54849806的博客
03-02 420
目录 1.跨域问题 2.为什么要跨域? 演示跨域问题 3.利用jsonp进行跨域 演示jsonp跨域 演示用jQuery的方式发送jsonp请求 简化方法发送jsonp 4.用cros进行跨域 cros跨域演示 5.proxy模式简介 1.跨域问题 什么是跨域? 首先,现代浏览器为了安全,做了一个同源限制. 也就是所谓的同源安全策略. 本质上,其实是不存在所谓的跨不跨域的. 把浏览器想象成一个发送网络请求的软件. 按照道理来说,请求都是可以发送出去的. 但是在 w
注解@CrossOrigin详解
weixin_42517350的博客
04-30 454
https://www.jianshu.com/p/2a9b78e07d52
Spring @CrossOrigin 注解原理
weixin_33691817的博客
03-13 2386
2019独角兽企业重金招聘Python工程师标准>>> ...
java web 跨域访问_Java Web应用中支持跨域请求
weixin_36317492的博客
02-12 250
转载:https://blog.csdn.net/lmy86263/article/details/51724221由于工程合作开发的需要,后台的应用要能支持跨域访问,但是在这个跨域访问“时好时坏”,我们这帮屌丝所知道的就是加上两个jar包,然后声明一下Filter,感觉很简单的有没有!!感觉自己很牛X有没有!!全是幻觉!!要不然怎么会时好时坏!!为了深入了解这个问题,决定写这篇文章总结一下。要知...
2021-04-20-JavaWeb项目跨域解决方案
qq_41270550的博客
04-20 209
1、为什么会有跨域问题的存在? JavaScript出于安全方面的考虑,不允许跨域调用其他项目的对象,即同源政策。 所谓同源是指:协议相同,域名相同,端口相同。 比如:http://www.example.com/zw/index.html 协议是:http:// 域名是:www.example.com 端口号是:80(默认端口可以省略), 它的同源情况如下: http://www.example.com/zwxk/manager.html 同源 https://www.example.com/zw/
spring-web-4.3跨域@CrossOrigin详解
weixin_34233856的博客
11-24 436
说明:项目前后端分离会用到跨域访问。 springmvc4.3.4跨域访问通过注解@CrossOrigin(origins = "*")开启,此注解可应用于类或者方法上。 经过测试WebUploader 0.1.5跨域上传这样设置是可行的 以下是注解属性详解: @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(Retentio...
Cross-Origin Resource Sharing 跨域资源共享研究心得
wildchase的专栏
04-11 544
现在的项目,要提供一个对外的接口给手机端浏览器访问,由于同域安全策略,浏览器会默认禁止js ajax对该跨域接口的访问,原本以为不能访问的。于是用chrome作为测试的浏览器,跨域访问该接口,发现实际上发送了一个http method为 options的请求到服务端,而请求中没有带上发送的body内容,反而有几个特殊的报文头添加到了http header中, Request Method:OPTIO
Spring @CrossOrigin 通配符 解决跨域问题
weixin_30271335的博客
08-13 1474
@CrossOrigin 通配符 解决跨域问题 痛点: 对很多api接口需要 开放H5 Ajax跨域请求支持 由于环境多套域名不同,而CrossOrigin 原生只支持* 或者具体域名的跨域支持 所以想让CrossOrigin 支持下通配 *.abc.com 支持所有origin 为 abc.com域(包括各种子域名)名来的Ajax 请求支持跨域. 解决思路: 支持通配 @CrossOr...
SpringBoot处理CORS问题
MR_Peach07的博客
11-10 2569
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
CORS 专题
weixin_33843947的博客
05-16 324
CORS(跨域资源共享,Cross-Origin Resource Sharing)CORS其实出现时间不短了,它在维基百科上的定义是:跨域资源共享(CORS )是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 它是一个妥协,有更大的灵活性,但比起简单地允...
Spring boot解决CORS(跨域)请求(基于spring MVC 4.0以上版本)。
热门推荐
初学程序员
05-09 1万+
一、前言   昨天晚上临近下班之前,公司前端同事突然跟我说,他从前端发送的请求,方法变成了OPTIONS,我看到他的代码里明明也写着的是POST请求,可是为什么会变成了OPTIONS请求,而且返回的http状态码也是200,但是没有任何数据的返回,这就表明请求根本没有进入到方法中就被拦截返回了。这究竟是哪里出现了错误呢?二、原因探究    经过早上不懈的查找资料,在以下这篇博文中找到了原因:htt...
@CrossOrigin用来局部跨域的好处和坏处
最新发布
04-17
@CrossOrigin是一个用于解决跨域问题的注解,可以在Spring Boot中使用。它可以应用在Controller类或方法上,用于指定允许跨域请求的配置。 @CrossOrigin的好处包括: 1. 简单易用:使用@CrossOrigin注解可以快速...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值