运用cors解决跨域问题总结

简介: 最近在做的一个应用迁移项目,第一阶段要将工作台页面内的a应用所有链接,迁到b应用中,对应链接的域名也变为b应用的域名,因此产生了跨域问题。通常这种跨域问题可以采用jsonp请求解决,但是jsonp在本项目中会有几个难点:一是前端改动较大,二是jsonp只支持get请求,另外就是比较难执行灰度(jso
最近在做的一个应用迁移项目,第一阶段要将工作台页面内的a应用所有链接,迁到b应用中,对应链接的域名也变为b应用的域名,因此产生了跨域问题。通常这种跨域问题可以采用jsonp请求解决,但是jsonp在本项目中会有几个难点:一是前端改动较大,二是jsonp只支持get请求,另外就是比较难执行灰度(jsonp和非jsonp的请求显然是不好作为灰度的A/B项的)。
    除了jsonp,还有一种比较新的技术就是cors了。CORS是一种允许当前域(domain)的资源(比如html/js/web service)被其他域(domain)的脚本请求访问的机制。使用CORS,可以通过普通的XMLHttpRequest发起请求和获得数据,并且支持各种类型请求。缺点就是因为属于比较新的技术,所以浏览器兼容性有一定局限。


      由于这次改造的工作台只支持火狐和谷歌浏览器,所以cors的兼容性也就不是问题。如果是其他pc端的系统,在选择cors是就要考虑兼容性的影响了。

      下面就是具体怎么实现cors。首先,对于支持cors的浏览器,发送请求时,如果我们观察请求头会发现带有" Origin:http://example.taobao.com" ,该标识用来说明本次请求来自的域。要实现cors,只要在服务端在响应头部加上标识“ Access-Control-Allow-Origin:http://example.taobao.com”,这样浏览器发现Access-Control-Allow-Origin和请求来自的域一致,就允许跨域访问资源example.taobao.com的资源了。对应服务端代码:
rundata.getResponse().setHeader("Access-Control-Allow-Origin", "http://example.taobao.com");             
      如果Access-Control-Allow-Origin设置为"*",那么任何域的请求都可以通过cors访问服务资源,但是这样显然不够安全。我们可以在服务端设置一个域白名单,收到请求时先取请求头中origin标识的域,判断域是否在白名单中,如果在的话,再将该域设置到响应的Access-Control-Allow-Origin中。这样就实现指定某些域cors请求服务资源。
      服务端返回的响应除了加允许的请求域标识,同时对允许的请求方法也要标识,我们一般固定写为get和post就可以:  rundata.getResponse().setHeader("Access-Control-Allow-Methods","GET,POST");
      同时需要设置:
      rundata.getResponse().setHeader("Access-Control-Allow-Headers", rundata.getRequest().getHeader("access-control-request-headers"));//意思是请求的headers是什么我就返回允许的headers什么
      需要注意的时,按照上面方法做,此时的cors请求可以访问服务,但是请求不会带cookie信息。如果需要cookie信息的话,需要请求js和服务端做一个通信验证:
      js请求: var invocation = new XMLHttpRequest();  invocation.withCredentials = true;        
      服务端:rundata.getResponse().setHeader("Access-Control-Allow-Credentials", "true");      
      该验证IE并不支持,即使是高版本支持cors的IE10,11,所以这也是个坑。需要兼容ie的应用基本不用考虑cors了。
      最后,需要说的是
cors的 一个重要特性,处理不好也是一个坑,就是探测请求。当跨域请求时,如果请求较为“复杂”(定义复杂的标准在最后会附上),则浏览器会先发一个OPTIONS类型请求,域名和uri不变,但是不会带任何参数和cookie信息。这个请求的目的就是获得返回的响应后验证响应头,判断服务端是否支持该域的cors访问,支持的话才会发送真正的请求。所以叫探测请求。那么我们在服务端对这种OPTIONS类型方法请求,显然要特殊处理,首先按照前面介绍设置响应头相关内容以支持cors,其次要让请求跳过执行业务方法直接返回结束,因为这只是个探寻请求。这块我们可以做一个公用模块,或拦截器来统一处理:
      if("OPTIONS".equals(rundata.getRequest().getMethod())){
        //设置Access-Control-Allow相关头
        rundata.getResponse().getWriter().flush();
        return true;
      }
如果不希望每次请求都多一次OPTIONS请求,可以设置返回响应头信息:
      rundata.getResponse().setHeader("Access-Control-Max-Age","60"); //缓存OPTIONS结果60秒

最后附上cors“复杂”请求标准(满足一条即是):
      1、http请求方法不是HEAD、GET、POST其中之一
      2、http请求头没有包含下列所有:accept、accept-language、content-language、last-event-id、content-type
      3、content-type不是下列类型:application/x-www-form-urlencoded、multipart/form-data、text/plain
相关文章
|
3月前
|
JSON 安全 前端开发
浅析CORS跨域漏洞与JSONP劫持
浅析CORS跨域漏洞与JSONP劫持
121 3
|
17天前
|
安全 Java 应用服务中间件
SpringBoot:CORS是什么?SpringBoot如何解决跨域问题?
CORS是Web开发中常见且重要的机制,SpringBoot通过提供注解、全局配置和过滤器等多种方式来解决跨域问题。选择适合的方式可以帮助开发者轻松处理跨域请求,提高应用的灵活性和安全性。
44 2
|
28天前
|
安全
CORS 跨域资源共享的实现原理是什么?
CORS 跨域资源共享的实现原理是什么?
|
1月前
|
开发框架 中间件 Java
如何处理跨域资源共享(CORS)的 OPTIONS 请求?
处理 CORS 的 OPTIONS 请求的关键是正确设置响应头,以告知浏览器是否允许跨域请求以及允许的具体条件。根据所使用的服务器端技术和框架,可以选择相应的方法来实现对 OPTIONS 请求的处理,从而确保跨域资源共享的正常进行。
|
1月前
|
JavaScript 前端开发 API
跨域资源共享(CORS)的工作原理是什么?
跨域资源共享(CORS)通过浏览器和服务器之间的这种交互机制,在保证安全性的前提下,实现了跨域资源的访问,使得不同源的网页能够合法地获取和共享服务器端的资源,为现代Web应用的开发提供了更大的灵活性和扩展性。
|
2月前
|
JSON 前端开发 安全
CORS 是什么?它是如何解决跨域问题的?
【10月更文挑战第20天】CORS 是一种通过服务器端配置和浏览器端协商来解决跨域问题的机制。它为跨域资源共享提供了一种规范和有效的方法,使得前端开发人员能够更加方便地进行跨域数据交互。
|
1月前
|
安全
CORS 跨域资源共享的实现原理
CORS 跨域资源共享的实现原理
|
2月前
|
缓存 前端开发 应用服务中间件
CORS跨域+Nginx配置、Apache配置
CORS跨域+Nginx配置、Apache配置
230 7
|
3月前
|
安全
CORS 跨域资源共享的实现原理
CORS 跨域资源共享的实现原理
|
4月前
|
Web App开发 JSON 数据格式
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)
【Azure Developer】浏览器查看本地数据文件时遇见跨域问题(CORS)