Spring Boot 解決跨域問(wèn)題的 3 種方案!
作者 | telami
來(lái)源 | telami.cn/2019/springboot-resolve-cors
問(wèn)題背景:
CORS就是為了解決SOP問(wèn)題而生的,當(dāng)然CORS不是唯一的解決方案,不過(guò)這里不贅述其他解決辦法了。
CORS簡(jiǎn)介:
瀏覽器將CORS請(qǐng)求分成兩類:簡(jiǎn)單請(qǐng)求(simple request)和非簡(jiǎn)單請(qǐng)求(not-so-simple request)。
瀏覽器發(fā)出CORS簡(jiǎn)單請(qǐng)求,只需要在頭信息之中增加一個(gè)Origin字段。
瀏覽器發(fā)出CORS非簡(jiǎn)單請(qǐng)求,會(huì)在正式通信之前,增加一次OPTIONS查詢請(qǐng)求,稱為"預(yù)檢"請(qǐng)求(preflight)。瀏覽器先詢問(wèn)服務(wù)器,當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中,以及可以使用哪些HTTP動(dòng)詞和頭信息字段。只有得到肯定答復(fù),瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求,否則就報(bào)錯(cuò)。
簡(jiǎn)單請(qǐng)求就是HEAD、GET、POST請(qǐng)求,并且HTTP的頭信息不超出以下幾種字段 Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type 注:Content-Type:只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain
反之,就是非簡(jiǎn)單請(qǐng)求。
其實(shí)實(shí)現(xiàn)CORS很簡(jiǎn)單,就是在服務(wù)端加一些響應(yīng)頭,并且這樣做對(duì)前端來(lái)說(shuō)是無(wú)感知的,很方便。
詳解響應(yīng)頭:
Access-Control-Allow-Origin 該字段必填。它的值要么是請(qǐng)求時(shí)Origin字段的具體值,要么是一個(gè)*,表示接受任意域名的請(qǐng)求。 Access-Control-Allow-Methods 該字段必填。它的值是逗號(hào)分隔的一個(gè)具體的字符串或者*,表明服務(wù)器支持的所有跨域請(qǐng)求的方法。注意,返回的是所有支持的方法,而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次"預(yù)檢"請(qǐng)求。 Access-Control-Expose-Headers 該字段可選。CORS請(qǐng)求時(shí),XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)基本字段:Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段,就必須在Access-Control-Expose-Headers里面指定。 Access-Control-Allow-Credentials 該字段可選。它的值是一個(gè)布爾值,表示是否允許發(fā)送Cookie.默認(rèn)情況下,不發(fā)生Cookie,即:false。對(duì)服務(wù)器有特殊要求的請(qǐng)求,比如請(qǐng)求方法是PUT或DELETE,或者Content-Type字段的類型是application/json,這個(gè)值只能設(shè)為true。如果服務(wù)器不要瀏覽器發(fā)送Cookie,刪除該字段即可。 Access-Control-Max-Age 該字段可選,用來(lái)指定本次預(yù)檢請(qǐng)求的有效期,單位為秒。在有效期間,不用發(fā)出另一條預(yù)檢請(qǐng)求。
順便提一下,如果在開(kāi)發(fā)中,發(fā)現(xiàn)每次發(fā)起請(qǐng)求都是兩條,一次OPTIONS,一次正常請(qǐng)求,注意是每次,那么就需要配置Access-Control-Max-Age,避免每次都發(fā)出預(yù)檢請(qǐng)求。
解決辦法:
第一種辦法:
import?org.springframework.context.annotation.Configuration;
import?org.springframework.web.servlet.config.annotation.CorsRegistry;
import?org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public?class?CorsConfig?implements?WebMvcConfigurer?{
????@Override
????public?void?addCorsMappings(CorsRegistry?registry)?{
????????registry.addMapping("/**")
????????????????.allowedOrigins("*")
????????????????.allowedMethods("GET",?"HEAD",?"POST",?"PUT",?"DELETE",?"OPTIONS")
????????????????.allowCredentials(true)
????????????????.maxAge(3600)
????????????????.allowedHeaders("*");
????}
}
/**
?*?An?implementation?of?{@link?WebMvcConfigurer}?with?empty?methods?allowing
?*?subclasses?to?override?only?the?methods?they're?interested?in.
?*
?*?@author?Rossen?Stoyanchev
?*?@since?3.1
?*?@deprecated?as?of?5.0?{@link?WebMvcConfigurer}?has?default?methods?(made
?*?possible?by?a?Java?8?baseline)?and?can?be?implemented?directly?without?the
?*?need?for?this?adapter
?*/
@Deprecated
public?abstract?class?WebMvcConfigurerAdapter?implements?WebMvcConfigurer?{}
Spring Boot 基礎(chǔ)就不介紹了,看下這個(gè)教程太全了:
https://github.com/javastacks/spring-boot-best-practice
第二種辦法:
import?org.springframework.context.annotation.Configuration;
import?javax.servlet.*;
import?javax.servlet.annotation.WebFilter;
import?javax.servlet.http.HttpServletResponse;
import?java.io.IOException;
@WebFilter(filterName?=?"CorsFilter?")
@Configuration
public?class?CorsFilter?implements?Filter?{
????@Override
????public?void?doFilter(ServletRequest?req,?ServletResponse?res,?FilterChain?chain)?throws?IOException,?ServletException?{
????????HttpServletResponse?response?=?(HttpServletResponse)?res;
????????response.setHeader("Access-Control-Allow-Origin","*");
????????response.setHeader("Access-Control-Allow-Credentials",?"true");
????????response.setHeader("Access-Control-Allow-Methods",?"POST,?GET,?PATCH,?DELETE,?PUT");
????????response.setHeader("Access-Control-Max-Age",?"3600");
????????response.setHeader("Access-Control-Allow-Headers",?"Origin,?X-Requested-With,?Content-Type,?Accept");
????????chain.doFilter(req,?res);
????}
}
這種辦法,是基于過(guò)濾器的方式,方式簡(jiǎn)單明了,就是在response中寫(xiě)入這些響應(yīng)頭,好多文章都是第一種和第二種方式都叫你配置,其實(shí)這是沒(méi)有必要的,只需要一種即可。
這里也吐槽一下,大家不求甚解的精神。另外,關(guān)注公眾號(hào)Java技術(shù)棧,在后臺(tái)回復(fù):面試,可以獲取我整理的 Spring Boot 面試題和答案。
第三種辦法:
public?class?GoodsController?{
@CrossOrigin(origins?=?"http://localhost:4000")
@GetMapping("goods-url")
public?Response?queryGoodsWithGoodsUrl(@RequestParam?String?goodsUrl)?throws?Exception?{}
}??
沒(méi)錯(cuò)就是**@CrossOrigin**注解,點(diǎn)開(kāi)注解
@Target({?ElementType.METHOD,?ElementType.TYPE?})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public?@interface?CrossOrigin?{
}
也可以得知,這個(gè)是最小粒度的cors控制辦法了,精確到單個(gè)請(qǐng)求級(jí)別。
以上三種方法都可以解決問(wèn)題,最常用的應(yīng)該是第一種、第二種,控制在自家?guī)讉€(gè)域名范圍下足以,一般沒(méi)必要搞得太細(xì)。
這三種配置方式都用了的話,誰(shuí)生效呢,類似css中樣式,就近原則,懂了吧。
所以在開(kāi)發(fā)新項(xiàng)目時(shí),不需要等聯(lián)調(diào)時(shí)候,讓前端來(lái)找你了,我早就解決了跨域問(wèn)題。
往期推薦
MySQL為Null會(huì)導(dǎo)致5個(gè)問(wèn)題,個(gè)個(gè)致命!
文件寫(xiě)入的6種方法,這種方法性能最好
線程池的7種創(chuàng)建方式,強(qiáng)烈推薦你用它...