为什么会出现跨域问题?
根本原因是同源策略问题,同源策略是由Netscape提出的一个著名的安全策略,它是浏览器最核心也最基本的安全功能,现在所有支持JavaScript的浏览器都会使用这个策略。
同源
同源是指,域名,协议,端口相同。
跨域
域名,协议,端口有一个不一样都是跨域,简单的解释一下,,你从你从端口号为8000去请求8001的数据就是跨域.
如果想解决跨域问题,需要浏览器同时支持。
什么是CORS
CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing),允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端跨域的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起跨域请求。
Request Headers(请求头)
Origin
表示跨域请求的原始域。
Access-Control-Request-Method
表示跨域请求的方式。(如GET/POST)
Access-Control-Request-Headers
表示跨域请求的请求头信息。
Response headers(响应头 )
Access-Control-Allow-Origin
表示允许哪些原始域进行跨域访问。(字符数组)
Access-Control-Allow-Credentials
表示是否允许客户端获取用户凭据。(布尔类型)
使用场景:例如现在从浏览器发起跨域请求,并且要附带Cookie信息给服务器。则必须具备两个条件:1. 浏览器端:发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。 2.服务器端:设置Access-Control-Allow-Credentials为true。两个条件缺一不可,否则即使服务器同意发送Cookie,浏览器也无法获取。
Access-Control-Allow-Methods
表示跨域请求的方式的允许范围。(例如只授权GET/POST)
Access-Control-Allow-Headers
表示跨域请求的头部的允许范围。
Access-Control-Expose-Headers
表示暴露哪些头部信息,并提供给客户端。(因为基于安全考虑,如果没有设置额外的暴露,跨域的通信对象XMLHttpRequest只能获取标准的头部信息)
Access-Control-Max-Age
Spring Boot 如何处理跨域问题
方式一:直接使用@CrossOrigin注解
这是最简单,也是控制力度最小的一种方式,可以直接在Controller上添加注解,也可以在某一个方法上添加注解,这样你就可控制某个方法/某个Controller支持跨域,这样更安全。
@RestController
@RequestMapping(method = {RequestMethod.POST,RequestMethod.GET},value = "test")
@Slf4j
@CrossOrigin
public class TestController {
@RequestMapping("/test")
@ApiOperation("绑卡接口")
public void test(){
}
}方式二:使用Configuration
增加一个配置类,CORSConfiguration.java,实现WebMvcConfigurer接口,重写addCorsMappings(CorsRegistry registry)
@Configuration
public class CORSConfiguration implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods( "GET", "POST", "PUT", "DELETE").maxAge(3600);
}
}方法三:采用过滤器(filter)
增加一个CordFilter类,实现Filter接口,并在方式二的配置类中增加corsFilter方法
public class CorsFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", httpServletRequest.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", httpServletRequest.getHeader("Access-Control-Request-Headers"));
if (httpServletRequest.getMethod().equals(RequestMethod.OPTIONS.name())) {
response.setStatus(HttpStatus.OK.value());
return;
}
chain.doFilter(req, res);
}
}@Configuration
public class CORSConfiguration implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**").allowedOrigins("*").allowCredentials(true).allowedMethods( "GET", "POST", "PUT", "DELETE").maxAge(3600);
}
}
