Java服務(wù)端解決跨域 CORS請(qǐng)求頭

最近與前端進(jìn)行本地聯(lián)調(diào)時(shí)，發(fā)生了跨域的問(wèn)題，無(wú)法訪問(wèn)我的服務(wù)端地址，使用了以下的方式進(jìn)行了解決。

解決方法

通過(guò)fileter中寫入ACCESS-Control-Allow的頭信息，進(jìn)行跨域訪問(wèn)，代碼如下：

public class CrossDomainFilter implements Filter{
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}
 
	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {    
        //設(shè)置跨域請(qǐng)求  
        HttpServletResponse response = (HttpServletResponse) res; 
        //此處ip地址為需要訪問(wèn)服務(wù)器的ip及端口號(hào)
        response.setHeader("Access-Control-Allow-Origin", "http://192.168.1.1:8080");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS, PATCH");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type,Token,Accept, Connection, User-Agent, Cookie");
        response.setHeader("Access-Control-Max-Age", "3628800");   
  
        System.out.println("設(shè)置跨域請(qǐng)求");  
        chain.doFilter(req, response);    
    }
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
	}
}

其中

• "Access-Control-Allow-Origin"表示的是訪問(wèn)服務(wù)端的ip地址及端口號(hào)，也可以設(shè)置為*表示所有域都可以通過(guò)；
• "Access-Control-Allow-Credentials"表示的是跨域的ajax中可以攜帶cookie，此時(shí)第一項(xiàng)設(shè)置不能為*，需指定域名；
• "Access-Control-Allow-Methods"表示的是允許跨域的請(qǐng)求方法；
• "Access-Control-Allow-Headers"表示的是允許跨域請(qǐng)求包含content-type頭；
• "Access-Control-Allow-Max-Age"表示的是在3628800秒內(nèi)，不需要再發(fā)送預(yù)檢驗(yàn)請(qǐng)求，可以緩存該結(jié)果，一般默認(rèn)。

寫完filter別忘記配置web.xml，其代碼如下：

??? ?<!-- 跨域設(shè)置 -->
?? ?<filter>
?? ??? ?<filter-name>crossFilter</filter-name>
?? ??? ?<filter-class>com.chinamobile.bcop.console.security.filter.CrossDomainFilter</filter-class>
?? ?</filter>
?? ?<filter-mapping>
?? ??? ?<filter-name>crossFilter</filter-name>
?? ??? ?<url-pattern>/*</url-pattern>
?? ?</filter-mapping>

在調(diào)試的過(guò)程中，如果出現(xiàn)錯(cuò)誤，可以看看自己的Access-Control-Allow-Headers是否有加全，通過(guò)以上方法就可以實(shí)現(xiàn)跨域了。

CORS解決跨域的幾種實(shí)現(xiàn)方式

一、什么是跨域

當(dāng)一個(gè)請(qǐng)求的url的協(xié)議、域名、端口任意一個(gè)與當(dāng)前頁(yè)面的url不同即為跨域

a頁(yè)面想獲取b頁(yè)面的資源，a與b頁(yè)面的協(xié)議、域名或端口號(hào)不同，進(jìn)行的訪問(wèn)行為都是跨域，由于瀏覽器的同源策略，會(huì)限制跨域請(qǐng)求資源。

二、同源策略

同源策略（Same origin policy）是一種約定，它是瀏覽器最核心也最基本的安全功能，如果缺少了同源策略，則瀏覽器的正常功能可能都會(huì)受到影響。可以說(shuō)Web是構(gòu)建在同源策略基礎(chǔ)之上的，瀏覽器只是針對(duì)同源策略的一種實(shí)現(xiàn)。

同源政策由 Netscape 公司引入瀏覽器。目前，所有瀏覽器都實(shí)行這個(gè)政策。最初，它的含義是指，A網(wǎng)頁(yè)設(shè)置的 Cookie，B網(wǎng)頁(yè)不能打開(kāi)，除非這兩個(gè)網(wǎng)頁(yè)"同源"。所謂"同源"指的是"三個(gè)相同"：

• 協(xié)議相同
• 域名相同
• 端口相同

同源策略確保一個(gè)應(yīng)用中的資源只能被本應(yīng)用的資源訪問(wèn)。

非同源限制

• cookie、localStorage、indexDB無(wú)法讀取
• DOM和js對(duì)象無(wú)法獲取
• 無(wú)法發(fā)送Ajax請(qǐng)求

三、跨域的解決辦法

瀏覽器的同源策略，幫我們解決了很多安全性的問(wèn)題

與此同時(shí)，同源策略帶來(lái)的問(wèn)題，A頁(yè)面想要獲取B頁(yè)面的資源怎么辦？

• CORS
• CORS（Cross-Origin Resource Sharing）是一個(gè)W3C標(biāo)準(zhǔn)，全稱“跨域資源共享”

整個(gè)CORS通信過(guò)程，都是瀏覽器自動(dòng)完成，不需要用戶參與。對(duì)于開(kāi)發(fā)者來(lái)說(shuō)，CORS通信與同源的AJAX通信沒(méi)有差別，代碼完全一樣。瀏覽器一旦發(fā)現(xiàn)AJAX請(qǐng)求跨源，就會(huì)自動(dòng)添加一些附加的頭信息，有時(shí)還會(huì)多出一次附加的請(qǐng)求，但用戶不會(huì)有感覺(jué)

它允許瀏覽器向跨域服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而解決Ajax只能同源使用的限制

3.1、兩種請(qǐng)求

瀏覽器將cors請(qǐng)求分為兩類：簡(jiǎn)單請(qǐng)求和非簡(jiǎn)單請(qǐng)求

只要同時(shí)滿足以下條件，就屬于簡(jiǎn)單請(qǐng)求

1、請(qǐng)求方法為以下三種之一

• HEAD
• GET
• POST

2、HTTP的頭信息不超出以下幾種字段

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID

Content-type 只限于三個(gè)值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不滿足以上條件，就屬于非簡(jiǎn)單請(qǐng)求

3.1.1、簡(jiǎn)單請(qǐng)求

對(duì)于簡(jiǎn)單請(qǐng)求，瀏覽器直接發(fā)送請(qǐng)求。在請(qǐng)求頭信息中，添加一個(gè)Origin字段，Origin字段用來(lái)說(shuō)明，本次請(qǐng)求來(lái)自哪個(gè)源（協(xié)議 + 域名 + 端口）。服務(wù)器根據(jù)這個(gè)值，決定是否同意這次請(qǐng)求

Origin: http://localhost:8083

服務(wù)端處理

添加相應(yīng)響應(yīng)頭信息

• Access-Control-Allow-Origin: http://localhost:8083 該字段是必須的。它的值要么是請(qǐng)求時(shí)Origin字段的值，要么是一個(gè)*，表示接受任意域名的請(qǐng)求?
• Access-Control-Expose-Headers 該字段可選。CORS請(qǐng)求時(shí)，XMLHttpRequest對(duì)象的getResponseHeader()方法只能拿到6個(gè)基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必須在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值?
• Access-Control-Allow-Credentials: true該字段可選。它的值是一個(gè)布爾值，表示是否允許發(fā)送Cookie。默認(rèn)情況下，Cookie不包括在CORS請(qǐng)求之中。設(shè)為true，即表示服務(wù)器明確許可，Cookie可以包含在請(qǐng)求中，一起發(fā)給服務(wù)器。這個(gè)值也只能設(shè)為true，如果服務(wù)器不要瀏覽器發(fā)送Cookie，刪除該字段即可

CORS請(qǐng)求默認(rèn)不發(fā)送Cookie數(shù)據(jù)，如果要傳送cookie數(shù)據(jù)，則需在前端Ajax請(qǐng)求中打開(kāi)withCredentials屬性

需要注意的是，如果要發(fā)送Cookie，Access-Control-Allow-Origin就不能設(shè)為星號(hào)，必須指定明確的、與請(qǐng)求網(wǎng)頁(yè)一致的域名

var xhr = new XMLHttpRequest();
xhr.withCredentials = true;

3.1.2、非簡(jiǎn)單請(qǐng)求

預(yù)檢請(qǐng)求

• 非簡(jiǎn)單請(qǐng)求是那種對(duì)服務(wù)器有特殊要求的請(qǐng)求，比如請(qǐng)求方法是PUT或DELETE，或者Content-Type字段的類型是application/json。
• 非簡(jiǎn)單請(qǐng)求的CORS請(qǐng)求，會(huì)在正式通信之前，增加一次HTTP查詢請(qǐng)求，稱為"預(yù)檢"請(qǐng)求（preflight）
• 瀏覽器先詢問(wèn)服務(wù)器，當(dāng)前網(wǎng)頁(yè)所在的域名是否在服務(wù)器的許可名單之中，以及可以使用哪些HTTP動(dòng)詞和頭信息字段。只有得到肯定答復(fù)，瀏覽器才會(huì)發(fā)出正式的XMLHttpRequest請(qǐng)求，否則就報(bào)錯(cuò)。

服務(wù)端處理

• Access-Control-Allow-Methods該字段必需，它的值是逗號(hào)分隔的一個(gè)字符串，表明服務(wù)器支持的所有跨域請(qǐng)求的方法。注意，返回的是所有支持的方法，而不單是瀏覽器請(qǐng)求的那個(gè)方法。這是為了避免多次"預(yù)檢"請(qǐng)求。?
• Access-Control-Allow-Headers如果瀏覽器請(qǐng)求包括Access-Control-Request-Headers字段，則Access-Control-Allow-Headers字段是必需的。它也是一個(gè)逗號(hào)分隔的字符串，表明服務(wù)器支持的所有頭信息字段，不限于瀏覽器在"預(yù)檢"中請(qǐng)求的字段。?
• Access-Control-Allow-Credentials該字段與簡(jiǎn)單請(qǐng)求時(shí)的含義相同。?
• Access-Control-Max-Age：1728000 該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

3.2、CORS常用解決跨域的方法

前端發(fā)送Ajax請(qǐng)求

    $("#test").click(function(){
        $.ajax({
            url : "http://localhost:8084/show.cors",
            type : "GET",
            success : function(result){
                // alert(result);
                console.log(result)
            }
        })
    })

3.2.1、HttpServletResponse添加頭信息

@RestController
public class CorsController {
?
    @RequestMapping(value = "/look.cors")
    public String look(HttpServletResponse response){
        response.addHeader("Access-Control-Allow-Origin","http://localhost:8083");
        //response.addHeader("Access-Control-Allow-Credentials","true");
        return "hello cors";
    }
    
}

3.2.2、使用Spring注解@CrossOrigin

@RestController
public class CorsController2 {
?
    @RequestMapping(value = "/show.cors")
    @CrossOrigin(origins = "http://localhost:8083")
    /*  @CrossOrigin    也可配置在類上
        屬性:
        methods     表明服務(wù)器支持的跨域請(qǐng)求的方法
        maxAge      預(yù)檢的有效期
    */
    public String show(){
        return "hello cors";
    }
}

3.2.3、通過(guò)配置類解決跨域

使用HttpServletResponse對(duì)象或注解方式，需要在每個(gè)需要跨域的方法上都加上相應(yīng)的注解或參數(shù)，我們想讓所有的controller都添加跨域功能，我們可以通過(guò)實(shí)現(xiàn)WebMvcConfigurer接口來(lái)自定義跨域配置

WebMvcConfigurer是一個(gè)接口，提供很多自定義的攔截器，例如跨域設(shè)置、類型轉(zhuǎn)化器等springMVC的配置

@Configuration
public class CorsConfig implements WebMvcConfigurer {
?
    /**
     * **addMapping**：配置可以被跨域的路徑，可以任意配置，可以具體到直接請(qǐng)求路徑。
     *
     * **allowedMethods**：允許所有的請(qǐng)求方法訪問(wèn)該跨域資源服務(wù)器，如：POST、GET、PUT、DELETE等。
     *
     * **allowedOrigins**：允許所有的請(qǐng)求域名訪問(wèn)我們的跨域資源，可以固定單條或者多條內(nèi)容，如：”[http://www.aaa.com](http://www.aaa.com/)“，只有該域名可以訪問(wèn)我們的跨域資源。
     *
     * **allowedHeaders**：允許所有的請(qǐng)求header訪問(wèn)，可以自定義設(shè)置任意請(qǐng)求頭信息。
     
     * @param registry
     */
    
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*.cors")
                .allowedOrigins("http://localhost:8083")
                .allowedMethods("POST","GET")
                .maxAge(1000);
    }
}

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論