前后端分离需要处理的跨域解决方案

环境

前端

vue + axios

后端

springboot

问题与方案

这里可以看文献的《跨域资源共享》;请求分为简单请求复杂请求简单请求直接进行正式请求,而复杂请求则会在正式请求之前发送请求方式为OPTIONS的预检请求。

跨域解决方案(针对复杂请求)

第一种

原因: 缺少跨域的Header标头

解决:

    // 实现 implements WebMvcConfigurer 接口
	@Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowCredentials(true)
                .allowedOrigins("http://localhost:8080")
                .allowedMethods("GET","POST","DELETE","PUT","OPTIONS")
                .allowedHeaders("*");
                // .exposedHeaders("Allow"); //这一句可以不需要,暴露指定的header
    }

第二种

原因: (OPTIONS)预检请求返回的不是OK的状态码(200)

解决: 解决后台的报错问题即可

第三种

由于我是集成了SpringSecurity,那么只需添加以下代码片段即可

    /**
     * 注入CORS配置源
     * @see WebMvcConfiguration#addCorsMappings(org.springframework.web.servlet.config.annotation.CorsRegistry)
     */
    @Resource
    private CorsConfigurationSource corsConfigurationSource;

protected void configure(HttpSecurity http) throws Exception
   http.cors().configurationSource(corsConfigurationSource)
}

如果没有集成SpringSecurity,那么添加以下代码(未测试)

    /**
     * 注入CORS配置源
     * @see WebMvcConfiguration#addCorsMappings(org.springframework.web.servlet.config.annotation.CorsRegistry)
     */
    @Resource
    private CorsConfigurationSource corsConfigurationSource;


@Bean
    public FilterRegistrationBean<CorsFilter> corsFilterFilterRegistrationBean(){
        FilterRegistrationBean<CorsFilter> corsFilterFilterRegistrationBean = new FilterRegistrationBean<>();
        corsFilterFilterRegistrationBean.setUrlPatterns(Collections.singleton("/*"));
        corsFilterFilterRegistrationBean.setOrder(0); // 这里调整的执行次序,按自己所需的值修改
        corsFilterFilterRegistrationBean.setFilter(new CorsFilter(configSource));
        corsFilterFilterRegistrationBean.setEnabled(true);
        return corsFilterFilterRegistrationBean;
    }

第四种:忽略OPTIONS预检请求

//注册一个 Filter 过滤器,对OPTIONS请求直接返回即可
if (request.getMethod().equals(RequestMethod.OPTIONS.name())) {
            response.addHeader("Allow", ""); //这个Allow有大用
            return false;
}
/**
 * Security的自定义认证过滤器实现,此为参考即可;只列出了主要代码以供参考
*/
public class JwtAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    /**
     * 此方法返回是否需要认证
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
        if (request.getMethod().equals(RequestMethod.OPTIONS.name())) {
            response.addHeader("Allow", "");
            return false;
        }
        return super.requiresAuthentication(request, response);
    }
    ...
}
/**
  只列出了主要代码以供参考;可以在doFilter方法里过滤OPTIONS预检请求
*/
public class JwtOnceAuthenctionFilter extends OncePerRequestFilter {

    /**
    	此方法的返回值只决定了执行不执行当前过滤器而已,这里只是位置,并未加代码,可参考上方忽略
    	预检请求(OPTIONS)的片段
    */
    @Override
    protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {
        return super.shouldNotFilter(request);
    }
    ...
}

response.addHeader("Allow", ""); 这里说下这句代码的用意,主要就是终结这个请求的执行而已

/**
留下代码定位,Debug看吧

org.springframework.web.servlet.FrameworkServlet#doOptions

*/	

@Override
	protected void doOptions(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

		if (this.dispatchOptionsRequest || CorsUtils.isPreFlightRequest(request)) 		{
			processRequest(request, response);
            //这里会判断响应Header是否包含`Allow`,值目前并没有找到需要的地方
			if (response.containsHeader("Allow")) {
				// 来自处理程序的正确OPTIONS响应-我们完成了。
				return; //这个请求就这样执行完了
			}
		}
        ......................
 }

相关文献

posted @ 2020-12-08 00:26  星小梦  阅读(466)  评论(0编辑  收藏  举报