java服務端解決跨域原理解析

什么是跨域?

  • 當一個請求url的協(xié)議、域名、端口三者之間任意一個與當前頁面url不同即為跨域
  • 瀏覽器同源策略的限制

為什么會有同源策略?

  • 為了安全
  • 如果沒有同源策略,不同源的數(shù)據(jù)和資源(如HTTP頭、Cookie、DOM、localStorage等)就能相互隨意訪問,沒有安全性可言

springboot項目解決跨域的方式

添加webMvc配置

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
                .allowCredentials(true)
                .maxAge(3600)
                .allowedHeaders("*");
    }
}
  • 優(yōu)點: 全局配置比較方便
  • 缺點:定制化比較麻煩,針對性比較弱
  • 適用場景:全局化配置

添加web全局過濾器

import org.springframework.context.annotation.Configuration;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebFilter(filterName = "CorsFilter ")
@Configuration
public class CorsFilter implements Filter {
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, PATCH, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        chain.doFilter(req, res);
    }
}
  • 優(yōu)點: 針對性強,可從ServletRequest拿到特定的數(shù)據(jù),針對性的支持跨域
  • 缺點:要配置的數(shù)據(jù)比較多,配置中的一些配置項要主要選擇,謹慎選擇
  • 適用場景:保證數(shù)據(jù)安全,針對特定的域名支持跨域訪問

springboot 注解形式

    @RequestMapping("/test")
    @CrossOrigin
    public String test(){
        return "hello Spring-boot";
    }
  • 優(yōu)點: 比較優(yōu)雅,一個注解搞定,針對性強,可具體到某個方法
  • 缺點:定制化比較弱
  • 適用場景:某個類或某些方法只允許特定域名進行跨域訪問

服務端解決跨域流程分析

  • 瀏覽器將CORS請求分成兩類:簡單請求(simple request)和非簡單請求(not-so-simple request),兩者的處理方式不一樣
  • 同時滿足以下兩種條件的就屬于簡單請求
* 請求方法是以下三種方法之一:get head  post

* HTTP的頭信息不超出以下幾種字段:Accept Accept-Language Content-Language Last-Event-ID Content-Type:只限于三個值application/x-www-form-urlencoded、multipart/form-data、text/plain
  • 當請求存在跨域資源共享(CORS)并且是非簡單請求,就會觸發(fā)CORS的預檢請求,"預檢"請求用的請求方法是OPTIONS
  • 下面用一個具體的案例來分析服務端是如何解決跨域問題
<header>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</header>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script  >
    const httpHandler = axios.create({
        headers: {
        
        }, 
    });

    httpHandler.get('http://abc.com:8080/test')
    .then(function (response) {
        console.log(response);
    })
    .catch(function (error) {
        console.log(error);
    });
</script>

<body>
刷新頁面
</body>
01.png
  • 可以看到請求頭什么沒帶的情況下第一次請求(針對服務端而言)就會直接返回接口數(shù)據(jù)
02.png
  • 變成一個非簡單請求攜帶了一個請求頭信息
<header>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</header>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>
<script  >
axios.defaults.withCredentials = true;
    const httpHandler = axios.create({
        headers: {
            "Token":"123456"
        }, 
    });

    httpHandler.get('http://abc.com:8080/test')
    .then(function (response) {
        console.log(response);
    })
    .catch(function (error) {
        console.log(error);
    });
</script>

<body>
測試
</body>
第一次預請求
03.png
04.png
第二次請求
05.png
06.png
可以看到第一次請求與第二次請求的區(qū)別
  • 瀏覽器先詢問服務器,當前網(wǎng)頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復,瀏覽器才會發(fā)出正式的XMLHttpRequest請求

  • 服務器收到"預檢"請求以后,檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers字段以后,確認允許跨源請求,就可以做出回應

  • 一旦服務器通過了"預檢"請求,以后每次瀏覽器正常的CORS請求,就都跟簡單請求一樣,會有一個Origin頭信息字段。服務器的回應,也都會有一個Access-Control-Allow-Origin頭信息字段


    c9274cfc325ebccb9148b07eea03aa8.png

總結

1.為了保證數(shù)據(jù)安全才有了同源策略,從而有了跨域的概念

2.springBoot多種配置方式支持跨域,合理按需選擇

3.支持跨域在服務端請求有簡單請求和非簡單請求的區(qū)別,非簡單請求需要有一次預檢請求的訪問

最后編輯于
?著作權歸作者所有,轉載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 230,578評論 6 544
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,701評論 3 429
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 178,691評論 0 383
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 63,974評論 1 318
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 72,694評論 6 413
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 56,026評論 1 329
  • 城市分裂傳說
    那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 44,015評論 3 450
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 43,193評論 0 290
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,719評論 1 336
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 41,442評論 3 360
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 43,668評論 1 374
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,151評論 5 365
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 44,846評論 3 351
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,255評論 0 28
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,592評論 1 295
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 52,394評論 3 400
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 48,635評論 2 380

推薦閱讀更多精彩內(nèi)容