由于浏览器对于 javascript 的同源策略的限制,如果在 A 站点的网页上希望通过 js 访问 B 站点的接口、资源等等,就需要处理跨域问题。
对于跨域问题,前端有 jsonp(只允许 GET 方法)、iFrame 等几种解决方案,例如 jQuery 已经在 ajax 中很好地封装了 jsonp。
本文介介绍如何在 Spring 项目中实现CORS跨域。
对 CORS 的介绍请参考 阮一峰的博客 - 跨域资源共享 CORS 详解。
一、简介
CORS 是一种 W3C 标准,全称为 “Cross-Origin Resource Sharing”,即 “跨域资源共享”。它允许浏览器向允许跨域的服务器发出XHR(XMLHttpRequest )请求,以跨域获取服务或资源,从而跨过 AJAX 请求的同域壁垒。
CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE 浏览器不能低于 IE8。其中,IE8、IE9 并非完全支持标准的 CORS,需要采用特有的 XDR(XMLDomainRequest)请求,请参考 此 stackoverflow 页面。
整个 CORS 通信过程都由浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨域,就会自动附加相应的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨域通信。
二、 Spring 跨域之 @CrossOrigin 注解方式
4.2以上版本SpringMVC 和 近年大热的Spring-boot 都支持以 @CrossOrigin 注解方式 让服务端允许跨域资源共享。
以 spring-boot 为例,我们首先实现一个简单的REST服务端,用来测试对GET和POST请求的跨域访问:
package com.xiezuozhang.cors;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;
/**
* 跨域测试
*
*/
@CrossOrigin()
@RestController
@SpringBootApplication
public class CorsTest
{
public static void main(String[] args) throws Exception {
SpringApplication.run(CorsTest.class, args);
}
@RequestMapping("/get")
String testGet() {
return "Hello World!";
}
@RequestMapping(value="/post",method=RequestMethod.POST)
String testPost() {
return "Hello World!";
}
}
再实现一个简单的页面:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Test CORS</title>
</head>
<body>
</body>
<script type="text/javascript" src="js/jquery-1.11.3.min.js"></script>
<script type="text/javascript" >
$.ajax({
type: "GET",
contentType: 'application/json; charset=utf-8',
url: "http://localhost:8080/get",
success: function(data) {
console.log("Testing cors get:" + data);
}
});
$.ajax({
type: "POST",
contentType: 'application/json; charset=utf-8',
url: "http://localhost:8080/post",
success: function(data) {
console.log("Testing cors post:" + data);
}
});
</script>
</html>
服务端跑起来后,用chrome 打开本地页面,查看执行结果:
测试 @CrossOrigin 跨域.png
可以看下浏览器的各请求和响应头:
测试 @CrossOrigin 跨域 GET.png
测试 @CrossOrigin 跨域 POST.png
可以看到Access-Control-Allow-Origin 为“*”,由前文可知允许所有来源域跨域访问。
从上面服务端代码中,我们仅仅使用了@CrossOrigin(),没有设置任何参数。那么如何配置参数,比如仅允许指定来源域访问,或者允许跨域请求携带认证信息呢?来看看@CrossOrigin() 的源码:
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
String[] DEFAULT_ORIGINS = { "*" };
String[] DEFAULT_ALLOWED_HEADERS = { "*" };
boolean DEFAULT_ALLOW_CREDENTIALS = true;
long DEFAULT_MAX_AGE = 1800;
@AliasFor("origins")
String[] value() default {};
/**
* 所有支持的来源域域的集合,例如"http://domain1.com"。
* <p>这些值都显示在请求头中的Access-Control-Allow-Origin
* "*"代表所有域的请求都支持
* <p>如果没有定义,所有请求的域都支持
* @see #value
*/
@AliasFor("value")
String[] origins() default {};
/**
* 允许的请求头,默认都支持
*/
String[] allowedHeaders() default {};
String[] exposedHeaders() default {};
/**
* 请求支持的方法,例如GET, POST。
* 默认支持RequestMapping中设置的方法
*/
RequestMethod[] methods() default {};
/**
* 是否允许cookie随请求发送,使用时必须指定具体的域
*/
String allowCredentials() default "";
/**
* 预请求的结果的有效期,默认30分钟
*/
long maxAge() default -1;
}
可见默认允许的来源域设置为 “*”,默认允许请求携带认证参数。
但是需要注意如果前端跨域请求中确实携带了cookie,则来源域就不能设置为“*”,必须与来源域相匹配。修改js代码测试下:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Test CORS</title>
</head>
<body>
</body>
<script type="text/javascript" src="js/jquery-1.11.3.min.js"></script>
<script type="text/javascript" >
$.ajax({
type: "GET",
contentType: 'application/json; charset=utf-8',
url: "http://localhost:8080/get",
xhrFields: {withCredentials: true},
success: function(data) {
console.log("Testing cors get:" + data);
}
});
$.ajax({
type: "POST",
contentType: 'application/json; charset=utf-8',
url: "http://localhost:8080/post",
success: function(data) {
console.log("Testing cors post:" + data);
}
});
</script>
</html>
在此我们声明前一个GET方法携带cookie,而后一个POST方法不携带,结果如下:
测试 @CrossOrigin 之携带cookie.png
对于前一个请求浏览器打印了错误信息,指出了若请求里携带了认证信息,则允许的来源域不能直接设为“*”。而后一个不携带cookie的请求则成功执行。
如果我们在服务端设置了匹配的来源域并允许跨域,比如当前我这个html测试示例由于在本地文件中直接打开执行,来源域为“null”:
package com.xiezuozhang.cors;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;
/**
* 跨域测试
*
*/
@CrossOrigin(value="null",allowCredentials="true")
@RestController
@SpringBootApplication
public class CorsTest
{
public static void main(String[] args) throws Exception {
SpringApplication.run(CorsTest.class, args);
}
@RequestMapping("/get")
String testGet() {
return "TEST GET METHOD PASSED";
}
@RequestMapping(value="/post",method=RequestMethod.POST)
String testPost() {
return "TEST POST METHOD PASSED";
}
}
同样执行跨域请求后结果便有所不同了:
修改服务端配置后请求成功.png
看下请求和响应头:
修改服务端配置后的请求和响应头.png
那么,如果我们的服务要接受来自多个域的请求,且要求携带认证信息,要怎么处理呢?
三、Spring跨域之自定义过滤器或拦截器
上一小节遗留的问题可以用自定义过滤器或拦截器解决。这里先贴上过滤器实现:
package com.xiezuozhang.filter;
import java.io.IOException;
import java.util.List;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
public class CorsFilter implements ContainerResponseFilter{
private List<String> allowOrigins;
private Boolean allowCredentials;
private Boolean allowAllOrigins = false;
public List<String> getAllowOrigins() {
return allowOrigins;
}
public void setAllowOrigins(List<String> allowOrigins) {
this.allowOrigins = allowOrigins;
}
public Boolean getAllowCredentials() {
return allowCredentials;
}
public void setAllowCredentials(Boolean allowCredentials) {
this.allowCredentials = allowCredentials;
}
@Override
public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext)
throws IOException {
String allowOrigin = "";
try {
String origin = requestContext.getHeaderString("Origin");
if(null==origin) {
return;
}
if(allowAllOrigins) {
allowOrigin = origin;
}else if(null!=allowOrigins && !allowOrigins.isEmpty()) {
for(String s : allowOrigins) {
if(s.trim().equalsIgnoreCase(origin.trim())) {
allowOrigin = origin.trim();
break;
}
}
}
responseContext.getHeaders().putSingle("Access-Control-Max-Age", "3600");
responseContext.getHeaders().putSingle("Access-Control-Allow-Credentials",allowCredentials.toString());
responseContext.getHeaders().putSingle("Access-Control-Allow-Origin",allowOrigin);
responseContext.getHeaders().putSingle("Access-Control-Allow-Headers","Origin, X-Requested-With, Content-Type, Accept,Content-Length, Authorization");
responseContext.getHeaders().putSingle("Access-Control-Allow-Methods","GET,POST,PUT,DELETE,PATCH,OPTIONS");
}catch(Exception e) {
e.printStackTrace();
}
}
public Boolean getAllowAllOrigins() {
return allowAllOrigins;
}
public void setAllowAllOrigins(Boolean allowAllOrigins) {
this.allowAllOrigins = allowAllOrigins;
}
}
以上代码实现了一个响应链上的拦截器,修改了与跨域相关的响应头。现在我们把它加到spring + cxf 实现restfu 风格接口的工程中(由于笔者很早之前就实现了这个测试工程,所以懒得用spring-boot重新写一遍):
<?xml version="1.0" encoding="UTF-8"?>
<!-- ~ Copyright (c) 2015. Zhejiang Institute Of Public Security Technology
Co., Ltd. All Rights Reserved. -->
<beans xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:jaxrs="http://cxf.apache.org/jaxrs" xmlns:cxf="http://cxf.apache.org/core"
xmlns:util="http://www.springframework.org/schema/util" xmlns="http://www.springframework.org/schema/beans"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://cxf.apache.org/jaxrs http://cxf.apache.org/schemas/jaxrs.xsd
http://cxf.apache.org/core http://cxf.apache.org/schemas/core.xsd
http://www.springframework.org/schema/util
http://www.springframework.org/schema/util/spring-util-4.2.xsd">
<import resource="classpath:META-INF/cxf/cxf.xml" />
<import resource="classpath:META-INF/cxf/cxf-servlet.xml" />
<cxf:bus>
<cxf:properties>
<entry key="org.apache.cxf.jaxrs.bus.providers" value-ref="busProviders" />
</cxf:properties>
</cxf:bus>
<util:list id="busProviders">
<bean class="org.codehaus.jackson.jaxrs.JacksonJsonProvider">
</bean>
<bean class="com.xiezuozhang.filter.CorsFilter" >
<property name="allowOrigins" >
<list>
<value>null</value>
</list>
</property>
<property name="allowCredentials" value="true" />
</bean>
</util:list>
<jaxrs:server id="test" address="/test">
<jaxrs:serviceBeans>
<bean class="com.xiezuozhang.api.Test" />
</jaxrs:serviceBeans>
</jaxrs:server>
</beans>
服务端接口实现:
package com.xiezuozhang.api;
import java.util.HashMap;
import java.util.Map;
import javax.ws.rs.Consumes;
import javax.ws.rs.GET;
import javax.ws.rs.Path;
import javax.ws.rs.PathParam;
import javax.ws.rs.Produces;
import javax.ws.rs.core.MediaType;
@Consumes(MediaType.APPLICATION_JSON)
@Produces(MediaType.APPLICATION_JSON)
public class Test {
@GET
@Path("/{msg}")
public Map<String,String> test(@PathParam("msg")String msg) {
Map<String,String> map = new HashMap<>();
map.put("msg", msg);
return map;
}
}
网页端测试实现:
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Test CORS</title>
</head>
<body>
</body>
<script type="text/javascript" src="js/jquery-1.11.3.min.js"></script>
<script type="text/javascript" >
$.ajax({
type: "GET",
contentType: 'application/json; charset=utf-8',
url: "http://localhost/corsTest/ws/test/122345",
xhrFields: {withCredentials: true},
success: function(data) {
console.log("Testing cors get:" + data.msg);
}
});
</script>
</html>
看下执行结果和请求和响应头:
过滤器跨域测试结果.png
过滤器跨域测试请求和响应头.png
分析过滤器代码可以发现,可通过配置 allowOrigins 或 ** allowAllOrigins** 属性来控制允许的来源域。具体细节请自行分析代码。
