跨域问题及解决方案

跨域问题及解决方案

什么是跨域?

跨域是指跨域名的访问,以下情况都是跨域:

示例 跨域原因说明
域名不同 www.baidu.com与www.sina.com
域名相同,端口不同 www.rayfoo.cn:8080与 www.rayfoo.cn:8082
二级域名不同 blog.rayfoo.cn与cloud.rayfoo.cn

域名、端口都相同,但是请求路径相同 不属于跨域,如:

www.baidu.com/baike

www.baidu.com/music

为什么会有跨域问题?

跨域不一定会有跨域问题。

因为跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是与当页面同域名的路径,这能有效的防止跨站攻击。

因此:跨域问题是针对ajax的一种限制。

但是这却对开发带来了不便,而且在实际生成环境中,肯定会有很多台服务器之间的交互,地址和端口都不同应该怎么解决呢?

跨域问题的解决方案

目前比较常见的跨域解决方案有三种:

  • JsonP

    早期的解决方案,利用script标签可以跨域的原理实现

    • 需要服务的支持
    • 只能发起get请求

  • Nginx反向代理

    • 思路:利用nginx反向代理把跨域为不跨域,支持各种请求方式
    • 缺点:需要在nginx进行额外配置,语义不清晰

  • CORS

    规范化的跨域解决方案,安全可靠

    优势:

    • 在服务端进行控制是否支持跨域,可自定义规则
    • 支持各种请求方式

    缺点

    • 会产生额外的请求

CORS解决跨域

什么是CORS

CORS是W3C标准,全称是(Cross-Origin Resource Sharing)跨域资源共享。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于10。

  • 浏览器端:

    整个CORS通信过程都由服务器自动完成,不需要用户参与。

  • 服务器端:

    CORS通信与AJAX没有任何差别,因此无需改变业务逻辑,只不过,浏览器会在请求中携带一些请求头信息,需要判断是否运行其跨域,然后在响应头中加入一些信息即可。这一般通过过滤器来完成。

原理

浏览器会将AJAX请求分为两类,其处理方案有差异:简单请求、特殊请求。

简单请求

只要同时满足以下两大条件,就属于简单请求:

(1)请求方法是一下三种之一

  • HEAD
  • GET
  • POST

(2)HTTP的头信息不超出以下几种字段

  • Accept
  • Accept-Language
  • Context-Language
  • Last-Event-ID
  • Context-Type只限于这三个值
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain

当浏览器发现发送的ajax是简单请求时,会在请求头中携带一个字段:origin(origin 远端)

Origin中会指出当前请求属于哪个域(协议+域名+端口),服务会根据这个值决定是否允许其跨域。如果服务器允许跨域,需要在返回的响应头中携带下面的信息:

如果服务器允许跨域,需要在返回的请求头中携带下面信息:

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true

  • Access-Control-Allow-Origin:可接受的域,是指一个具体的域名或者*,*代表任意

  • Access-Control-Allow-Credentials: 是否允许携带Cookie,默认情况CORS不会携带Cookie,除非其值是true。

特殊请求

不符合简单请求的条件,会被浏览器判定Wie特殊请求,例如请求方式为POST.

特殊请求在正式通讯之前,会增加一次http查询请求,成为预检请求。

浏览器先询问服务器,当前网页所在的域名是否在服务求的许可名单中,以及可以使用哪些HTTP的动词和头信息字段,只有得到肯定的答复,浏览器才会正式的发出XMLHttpRequest请求,否则就会报错。

一个预检请求的模板

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

与简单请求相比,除了Origin以外,多了两个头:

  • Access-Control-Request-Method:接下来会用到的请求方式,比如PUT
  • Access-Control-Request-Headers:会额外用到的头信息

服务的收到预检请求,如果许可跨域,会发出响应:

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true 						#是否允许访问cookie
Access-Control-Allow-Methods: GET, POST, PUT			#允许的请求方式
Access-Control-Allow-Headers: X-Custom-Header			#允许的请求头
Access-Control-Max-Age: 1728000										#当前预检请求的有效期S
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-OriginAccess-Control-Allow-Credentials以外,这里又额外多出3个头:

  • Access-Control-Allow-Methods:允许访问的方式
  • Access-Control-Allow-Headers:允许携带的头
  • Access-Control-Max-Age:本次许可的有效时长,单位是秒,过期之前的ajax请求就无需再次进行预检了

如果浏览器得到上述响应,则认定为可以跨域,后续就跟简单请求的处理是一样的了。

实战

在zull项目中,创建一个配置类,加入如下代码即可:

package com.leyou.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @Author: rayfoo@qq.com
 * @Date: 2020/7/13 2:09 下午
 * @Description: 跨域请求处理
 */
@Configuration
public class GlobalCorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域,不要写*,否则cookie就无法使用了
        config.addAllowedOrigin("http://manage.leyou.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4)允许的头信息  一般不用* 可以约定一个头信息
        config.addAllowedHeader("*");
        // 5) 有效时长
        config.setMaxAge(3600L);

        //2.添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }

}
posted @ 2020-07-05 14:21  张瑞丰  阅读(310)  评论(0编辑  收藏  举报