目录:
- 什么是跨域、为什么会跨域
- 解决方案
- springboot处理跨域方案
- 全局配置:继承接口,重写addCorsMappings方法
- 通过给方法或者类加注解的形式,使用注解@CrossOrigin
- 自定义跨域过滤器
- 使用nginx反向代理服务器解决跨域问题(如果前后端分离,建议此种方案)
一. 什么是跨域
何谓同源:URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示它们同源。浏览器的同源策略,从一个域上加载的脚本不允许访问另外一个域的文档属性 ,是浏览器上为安全性考虑实施的非常重要的安全策略。
举个例子:比如一个恶意网站的页面通过iframe嵌入了银行的登录页面(二者不同源),如果没有同源限制,恶意网页上的javascript脚本就可以在用户登录银行的时候获取用户名和密码。
为什么会跨域?
如果前后端项目没有放在同一个tomcat下也会出现跨域,因为两者ip或者端口不一样。
二. 解决方案
克服跨域限制的方法有(实践中后两种最常用,所以重点介绍):
- 通过jsonp跨域(前端)
- 通过修改document.domain来跨子域
- 使用window.name来进行跨域
- 使用HTML5中新引进的window.postMessage方法来跨域传送数据
- 使用代理服务器,使用代理方式跨域更加直接,因为同源限制是浏览器实现的。如果请求不是从浏览器发起的,就不存在跨域问题了。
使用这个方法跨域步骤如下:- 把访问其它域的请求替换为本域的请求
- 服务器端的动态脚本负责将本域的请求转发成实际的请求
- 为了通过Ajax从http://localhost:8080访问http://localhost:8081/api,可以将请求发往http://localhost:8080/api。
- 然后利用Apache Web/Nginx 服务器的Reverse Proxy功能做如下配置:ProxyPass /api http://localhost:8081/api
- CORS全称是"跨域资源共享"(Cross-origin resource sharing),CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能(IE浏览器不能低于IE10),因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。
浏览器将CORS请求分成两类:简单请求(simple request)和非简单请求(not-so-simple request)
(1) 请求方法是以下三种方法之一:HEAD GET POST
(2)HTTP的头信息不超出以下几种字段:Accept Accept-Language Content-Language Last-Event-ID
Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain
凡是不同时满足上面两个条件,就属于非简单请求。
对于简单请求,浏览器在发出CORS请求时会在头信息之中增加一个Origin字段。服务器的返回会多出3个字段:
Access-Control-Allow-Origin(必须) 允许跨域的源
Access-Control-Allow-Credentials(可选) 表示是否允许发送Cookie。默认情况下,Cookie可以包含在请求中,一起发给服务器
如果服务器不需要浏览器发送Cookie,删除该字段即可。
Access-Control-Expose-Headers(可选) CORS请求时,XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段:
Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,
就必须在Access-Control-Expose-Headers里面指定。如指定Access-Control-Expose-Headers: FooBar,则可通过
getResponseHeader('FooBar')获取FooBar字段的值。
非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。
"预检"请求用的请求方法是OPTIONS,表示这个请求是用来询问的。头信息里面,关键字段是Origin,表示请求来自哪个源。
浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,
浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
三. Springboot处理跨域方案
问题:使用vue+axios+spring boot前后端分离项目时会出现跨域问题
解决方式:
1. 全局配置:继承接口,重写addCorsMappings方法
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("http://localhost:8081")
.allowedHeaders("*")
.allowedMethods("*")
.maxAge(30*1000);
}
}
allowOrigins也可以写成allowedOrigins(" * "),表示接收所有来源的请求。
注意点:
1. 路径来源的写法问题
如果后台指定路径来源为:http://localhost:8081
那么在浏览器里访问前端页面的时候,必须用 http://localhost:8081,不可以写成127.0.0.1或者本机ip地址。否则还是会报跨域错误。测试如下
后台设置:
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("http://localhost:8081")
.allowedHeaders("*")
.allowedMethods("*")
.maxAge(30*1000);
}
前端请求:
<script>
doGet = function () {
$.get('http://localhost:8080/hello', function (msg) {
$("#app").html(msg);
});
}
doPut = function () {
$.ajax({
type:'put',
url:'http://localhost:8080/doPut',
success:function (msg) {
$("#app").html(msg);
}
})
}
</script>
启动服务,浏览器里访问:
http://localhost:8081/index.html
正常返回结果
浏览器里访问:
http://127.0.0.1:8081/index.html
报跨域错误如下:
所以说,浏览器访问路径需要与后台allowOrigin里设置的参数一致。
那如果代码里的访问路径可以不一样吗,比如:
doGet = function () {
$.get('http://127.0.0.1:8080/hello', function (msg) { //本机ip地址
$("#app").html(msg);
});
}
doPut = function () {
$.ajax({
type:'put',
url:'http://192.168.1.26:8080/doPut',
success:function (msg) {
$("#app").html(msg);
}
})
}
经过测试,是可以的,只要浏览器里访问页面的路径写法与后台保持一致就可以了。
2、携带Cookie
有时候,前端调用后端接口的时候,必须要携带cookie(比如后端用session认证),这个时候,就不能简单的使用allowOrigins("*")了,必须要指定具体的ip地址,否则也会报错。
2. 通过给方法或者类加注解的形式,使用注解@CrossOrigin
@RestController
@CrossOrigin("http://localhost:8081")
public class BaseController {
@GetMapping("/hello")
public String testGet(){
return "get";
}
@PutMapping("/doPut")
public String testPut(){
return "put";
}
}
指定请求来源,可以写成“*”,表示接收所有来源的请求。
3. 自定义跨域过滤器
1,编写过滤器
public class CrosFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// TODO Auto-generated method stub
HttpServletResponse res = (HttpServletResponse) response;
HttpServletRequest req = (HttpServletRequest) request;
String origin = req.getHeader("Origin");
if (!org.springframework.util.StringUtils.isEmpty(origin)) {
//带cookie的时候,origin必须是全匹配,不能使用*
res.addHeader("Access-Control-Allow-Origin", origin);
}
res.addHeader("Access-Control-Allow-Methods", "*");
String headers = req.getHeader("Access-Control-Request-Headers");
// 支持所有自定义头
if (!org.springframework.util.StringUtils.isEmpty(headers)) {
res.addHeader("Access-Control-Allow-Headers", headers);
}
res.addHeader("Access-Control-Max-Age", "3600");
// enable cookie
res.addHeader("Access-Control-Allow-Credentials", "true");
chain.doFilter(request, response);
}
@Override
public void destroy() {
// TODO Auto-generated method stub
}
}
2. 注册过滤器
/**
* @desc 注册自定义跨域过滤器
* @author guozhongyao
* @date 2020/3/30 15:52
*/
@Bean
public FilterRegistrationBean registerFilter(){
FilterRegistrationBean bean = new FilterRegistrationBean();
bean.addUrlPatterns("/*");
bean.setFilter(new CrosFilter());
return bean;
}
4. 使用nginx反向代理服务器解决跨域问题
1. 在nginx的conf目录下,创建vhosts文件夹
2. 在nginx.conf 文件中添加 include vhosts/*.conf;
3. vhost目录下创建 abc.conf文件