HTTP跨域研究

水深无声 2022-05-13 08:44 233阅读 0赞

*  CORS（Cross-origin resource sharing） “跨域资源共享”

在出现CORS标准之前， 我们还只能通过jsonp（jsonp跨域请求详解）的形式去向“跨源”服务器去发送 XMLHttpRequest 请求，这种方式吃力不讨好，在请求方与接收方都需要做处理，而且请求的方式仅仅局限于GET。所以 ，CORS标准必然是大势所趋，并且市场上绝大多数浏览器都已经支持CORS。（IE10以上）

*  CORS概念

支持CORS请求的浏览器一旦发现ajax请求跨域，会对请求做一些特殊处理，对于已经实现CORS接口的服务端，接受请求，并做出回应。

有一种情况比较特殊，如果我们发送的跨域请求为“非简单请求”，浏览器会在发出此请求之前首先发送一个请求类型为OPTIONS的“预检请求”，验证请求源是否为服务端允许源，这些对于开发这来说是感觉不到的，由浏览器代理。

总而言之，客户端不需要对跨域请求做任何特殊处理。

*  简单请求与非简单请求

浏览器对跨域请求区分为“简单请求”与“非简单请求”

“简单请求”满足以下特征：

（1) 请求方法是以下三种方法之一：
         HEAD
         GET
         POST
    （2）HTTP的头信息不超出以下几种字段：
         Accept
         Accept-Language
         Content-Language
         Last-Event-ID
         Content-Type：application/x-www-form-urlencoded、 multipart/form-data、text/plain

不满足这些特征的请求称为“非简单请求”，例如：content-type=applicaiton/json , method = PUT/DELETE…

Request Headers（请求头）

Origin  
表示跨域请求的原始域。

Access-Control-Request-Method  
表示跨域请求的方式。（如GET/POST）

Access-Control-Request-Headers  
表示跨域请求的请求头信息。

*  Response headers（响应头 ）

Access-Control-Allow-Origin

表示允许哪些原始域进行跨域访问。（字符数组）

Access-Control-Allow-Credentials

表示是否允许客户端获取用户凭据。（布尔类型）  
使用场景：例如现在从浏览器发起跨域请求，并且要附带Cookie信息给服务器。则必须具备两个条件：1. 浏览器端：发送AJAX请求前需设置通信对象XHR的withCredentials 属性为true。 2.服务器端：设置Access-Control-Allow-Credentials为true。两个条件缺一不可，否则即使服务器同意发送Cookie，浏览器也无法获取。

Access-Control-Allow-Methods

表示跨域请求的方式的允许范围。（例如只授权GET/POST）

Access-Control-Allow-Headers

表示跨域请求的头部的允许范围。

Access-Control-Expose-Headers

表示暴露哪些头部信息，并提供给客户端。（因为基于安全考虑，如果没有设置额外的暴露，跨域的通信对象XMLHttpRequest只能获取标准的头部信息）

Access-Control-Max-Age

表示预检请求 \[Preflight Request\] 的最大缓存时间。

*  CORS实现跨域访问

授权方式

*  方式1：返回新的CorsFilter
 *  方式2：重写WebMvcConfigurer
 *  方式3：使用注解（@CrossOrigin）
 *  方式4：手工设置响应头（HttpServletResponse ）

*注：CorsFilter / WebMvcConfigurer / @CrossOrigin 需要SpringMVC 4.2 以上的版本才支持，对应SpringBoot 1.3 版本以上都支持这些CORS特性。不过，使用SpringMVC4.2 以下版本的小伙伴也不用慌，直接使用方式4通过手工添加响应头来授权CORS跨域访问也是可以的。附：在SpringBoot 1.2.8 + SpringMVC 4.1.9 亲测成功。*

*注：方式1和方式2属于全局CORS配置，方式3和方式4属于局部CORS配置。如果使用了局部跨域是会覆盖全局跨域的规则，所以可以通过@CrossOrigin注解来进行细粒度更高的跨域资源控制。*

--------------------

1.  返回新的CorsFilter（全局跨域）

在任意配置类，返回一个新的CorsFilter Bean，并添加映射路径和具体的CORS配置信息。

package com.hehe.yyweb.config;
    
    @Configuration
    public class GlobalCorsConfig {
        @Bean
        public CorsFilter corsFilter() {
            //1.添加CORS配置信息
            CorsConfiguration config = new CorsConfiguration();
              //放行哪些原始域
              config.addAllowedOrigin("*");
              //是否发送Cookie信息
              config.setAllowCredentials(true);
              //放行哪些原始域(请求方式)
              config.addAllowedMethod("*");
              //放行哪些原始域(头部信息)
              config.addAllowedHeader("*");
              //暴露哪些头部信息（因为跨域访问默认不能获取全部头部信息）
              config.addExposedHeader("*");
    
            //2.添加映射路径
            UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
            configSource.registerCorsConfiguration("/**", config);
    
            //3.返回新的CorsFilter.
            return new CorsFilter(configSource);
        }
    }

1.  重写WebMvcConfigurer（全局跨域）

在任意配置类，返回一个新的WebMvcConfigurer Bean，并重写其提供的跨域请求处理的接口，目的是添加映射路径和具体的CORS配置信息。

package com.hehe.yyweb.config;
    
    @Configuration
    public class GlobalCorsConfig {
        @Bean
        public WebMvcConfigurer corsConfigurer() {
            return new WebMvcConfigurer() {
                @Override
                //重写父类提供的跨域请求处理的接口
                public void addCorsMappings(CorsRegistry registry) {
                    //添加映射路径
                    registry.addMapping("/**")
                            //放行哪些原始域
                            .allowedOrigins("*")
                            //是否发送Cookie信息
                            .allowCredentials(true)
                            //放行哪些原始域(请求方式)
                            .allowedMethods("GET","POST", "PUT", "DELETE")
                            //放行哪些原始域(头部信息)
                            .allowedHeaders("*")
                            //暴露哪些头部信息（因为跨域访问默认不能获取全部头部信息）
                            .exposedHeaders("Header1", "Header2");
                }
            };
        }
    }

1.  使用注解（局部跨域）

在方法上（@RequestMapping）使用注解  
@CrossOrigin ：

@RequestMapping("/hello")
        @ResponseBody
        @CrossOrigin("http://localhost:8080") 
        public String index( ){
            return "Hello World";
        }

或者在控制器（@Controller）上使用注解 @CrossOrigin ：

@Controller
    @CrossOrigin(origins = "http://xx-domain.com", maxAge = 3600)
    public class AccountController {
    
        @RequestMapping("/hello")
        @ResponseBody
        public String index( ){
            return "Hello World";
        }
    }

1.  手工设置响应头（局部跨域 ）

使用HttpServletResponse对象添加响应头（Access-Control-Allow-Origin）来授权原始域，这里Origin的值也可以设置为”\*” ，表示全部放行。

@RequestMapping("/hello")
        @ResponseBody
        public String index(HttpServletResponse response){
            response.addHeader("Access-Control-Allow-Origin", "http://localhost:8080");
            return "Hello World";
        }

三、测试跨域访问

首先使用 Spring Initializr 快速构建一个Maven工程，什么都不用改，在static目录下，添加一个页面：index.html 来模拟跨域访问。目标地址: [http://localhost:8090/hello][http_localhost_8090_hello]

<!DOCTYPE html>
    <html lang="en">
    <head>
        <meta charset="UTF-8"/>
        <title>Page Index</title>
    </head>
    <body>
    <h2>前台系统</h2>
    <p id="info"></p>
    </body>
    <script src="webjars/jquery/3.2.1/jquery.js"></script>
    <script>
        $.ajax({
            url: 'http://localhost:8090/hello',
            type: "POST",
            success: function (data) {
                $("#info").html("跨域访问成功:"+data);
            },
            error: function (data) {
                $("#info").html("跨域失败!!");
            }
        })
    </script>
    </html>

然后创建另一个工程，在Root Package添加Config目录并创建配置类来开启全局CORS。

接着，简单编写一个Rest接口 ，并指定应用端口为8090。

package com.hehe.yyweb;
    
    @SpringBootApplication
    @RestController
    public class YyWebApplication {
    
        @Bean
        public TomcatServletWebServerFactory tomcat() {
            TomcatServletWebServerFactory tomcatFactory = new TomcatServletWebServerFactory();
            tomcatFactory.setPort(8090); //默认启动8090端口
            return tomcatFactory;
        }
    
        @RequestMapping("/hello")
        public String index() {
            return "Hello World";
        }
    
        public static void main(String[] args) {
            SpringApplication.run(YyWebApplication.class, args);
        }
    }

最后分别启动两个应用，然后在浏览器访问：[http://localhost:8080/index.html][http_localhost_8080_index.html] ，可以正常接收JSON数据，说明跨域访问成功！！

[http_localhost_8090_hello]: http://localhost:8090/hello
[http_localhost_8080_index.html]: http://localhost:8080/index.html