共计 4172 个字符,预计需要花费 11 分钟才能阅读完成。
一、什么是跨域 HTTP 请求
现代浏览器出于安全的考虑,使用 XMLHttpRequest 对象发起 HTTP 请求时必须遵守同源策略,否则就是跨域的 HTTP 请求,默认情况下是被禁止的。跨域 HTTP 请求是指 A 域上资源请求了 B 域上的资源,举例而言,部署在 A 机器上 Nginx 上的 js 代码通过 ajax 请求了部署在 B 机器 Tomcat 上的 RESTful 接口。
IP(域名)不同、或者端口不同,都会造成跨域问题。为了解决跨域的问题,曾经出现过 jsonp、代理文件等方案,应用场景受限,维护成本高,直到 HTML5 带来了 CORS 协议。
CORS 是一个 W3C 标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。它通过服务器增加一个特殊的 Header[Access-Control-Allow-Origin] 来告诉客户端跨域的限制,如果浏览器支持 CORS、并且判断 Origin 通过的话,就会允许 XMLHttpRequest 发起跨域请求。
CROS 常见 header
Access-Control-Allow-Origin:http://somehost.com 表示允许 http://somehost.com 发起跨域请求。Access-Control-Max-Age:86400 表示在 86400 秒内不需要再发送预校验请求。Access-Control-Allow-Methods: GET,POST,PUT,DELETE 表示允许跨域请求的方法。Access-Control-Allow-Headers: content-type 表示允许跨域请求包含 content-type
二、CORS 实现跨域访问
授权方式方式 1:返回新的 CorsFilter 方式 2:重写 WebMvcConfigurer 方式 3:使用注解(@CrossOrigin)方式 4:手工设置响应头(HttpServletResponse)
注:方式 1 和方式 2 属于全局 CORS 配置,方式 3 和方式 4 属于局部 CORS 配置。如果使用了局部跨域是会覆盖全局跨域的规则,所以可以通过 @CrossOrigin 注解来进行细粒度更高的跨域资源控制。
1. 返回新的 CorsFilter(全局跨域)
package com.hehe.yyweb.config;
@Configuration
public class GlobalCorsConfig {
@Bean
public CorsFilter corsFilter() {
//1. 添加 CORS 配置信息
CorsConfiguration config = new CorsConfiguration();
// 放行哪些原始域
config.addAllowedOrigin(“*”);
// 是否发送 Cookie 信息
config.setAllowCredentials(true);
// 放行哪些原始域 (请求方式)
config.addAllowedMethod(“*”);
// 放行哪些原始域 (头部信息)
config.addAllowedHeader(“*”);
// 暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
config.addExposedHeader(“*”);
//2. 添加映射路径
UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
configSource.registerCorsConfiguration(“/**”, config);
//3. 返回新的 CorsFilter.
return new CorsFilter(configSource);
}
}
2. 重写 WebMvcConfigurer(全局跨域)
任意配置类,返回一个新的 WebMvcConfigurer Bean,并重写其提供的跨域请求处理的接口,目的是添加映射路径和具体的 CORS 配置信息。
package com.hehe.yyweb.config;
@Configuration
public class GlobalCorsConfig {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurer() {
@Override
// 重写父类提供的跨域请求处理的接口
public void addCorsMappings(CorsRegistry registry) {
// 添加映射路径
registry.addMapping(“/**”)
// 放行哪些原始域
.allowedOrigins(“*”)
// 是否发送 Cookie 信息
.allowCredentials(true)
// 放行哪些原始域 (请求方式)
.allowedMethods(“GET”,”POST”, “PUT”, “DELETE”)
// 放行哪些原始域 (头部信息)
.allowedHeaders(“*”)
// 暴露哪些头部信息(因为跨域访问默认不能获取全部头部信息)
.exposedHeaders(“Header1”, “Header2”);
}
};
}
}
3. 使用注解(局部跨域)
在方法上(@RequestMapping)使用注解 @CrossOrigin:
@RequestMapping(“/hello”)
@ResponseBody
@CrossOrigin(“http://localhost:8080”)
public String index(){
return “Hello World”;
}
或者在控制器(@Controller)上使用注解 @CrossOrigin:
@Controller
@CrossOrigin(origins = “http://xx-domain.com”, maxAge = 3600)
public class AccountController {
@RequestMapping(“/hello”)
@ResponseBody
public String index(){
return “Hello World”;
}
}
手工设置响应头(局部跨域)
使用 HttpServletResponse 对象添加响应头(Access-Control-Allow-Origin)来授权原始域,这里 Origin 的值也可以设置为 ”*”,表示全部放行。
@RequestMapping(“/hello”)
@ResponseBody
public String index(HttpServletResponse response){
response.addHeader(“Access-Control-Allow-Origin”, “http://localhost:8080”);
return “Hello World”;
}
三、测试跨域访问首先使用 Spring Initializr 快速构建一个 Maven 工程,什么都不用改,在 static 目录下,添加一个页面:index.html 来模拟跨域访问。目标地址: http://localhost:8090/hello
<!DOCTYPE html>
<html lang=”en”>
<head>
<meta charset=”UTF-8″/>
<title>Page Index</title>
</head>
<body>
<h2> 前台系统 </h2>
<p id=”info”></p>
</body>
<script src=”webjars/jquery/3.2.1/jquery.js”></script>
<script>
$.ajax({
url: ‘http://localhost:8090/hello’,
type: “POST”,
xhrFields: {
withCredentials: true // 允许跨域认证
},
success: function (data) {
$(“#info”).html(“ 跨域访问成功:”+data);
},
error: function (data) {
$(“#info”).html(“ 跨域失败!!”);
}
})
</script>
</html>
然后创建另一个工程,在 Root Package 添加 Config 目录并创建配置类来开启全局 CORS。
package com.hehe.yyweb.config;
@Configuration
public class GlobalCorsConfig {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurer() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping(“/**”);
}
};
}
}
接着,简单编写一个 Rest 接口,并指定应用端口为 8090。
package com.hehe.yyweb;
@SpringBootApplication
@RestController
public class YyWebApplication {
@Bean
public TomcatServletWebServerFactory tomcat() {
TomcatServletWebServerFactory tomcatFactory = new TomcatServletWebServerFactory();
tomcatFactory.setPort(8090); // 默认启动 8090 端口
return tomcatFactory;
}
@RequestMapping(“/hello”)
public String index() {
return “Hello World”;
}
public static void main(String[] args) {
SpringApplication.run(YyWebApplication.class, args);
}
}
最后分别启动两个应用,然后在浏览器访问:http://localhost:8080/index.html,可以正常接收 JSON 数据,说明跨域访问成功!!
原文链接:http://www.jianshu.com/p/477e…