跨域配置问题

cors简介

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出跨域检测请求,从而克服了AJAX只能同源使用的限制。

明确:跨域请求不允许,不是服务器的限制,是浏览器的安全限制

所以,服务端如果要实现跨域支持的关键就是对前端发出的跨域检测请求作出对应的应答。整体思路如下:

如果服务端要实现对跨域请求的支持,需要:

  1. 在前端发出跨域的OPTIONS请求时,根据OPTIONS请求header中得到的Access-Control-Request-参数,返回时在header中带上对应的Access-control-allow-..
  2. 在所有和前端交互的请求的返回中,都加上对应的header

CORS跨域实现方法解析

只要能根据逻辑指定入参返回对应的出参,都能实现跨域功能。所以实现跨域功能我见过的,有以下几种方法:

  1. 使用 Spring MVC 提供的跨域配置进行支持
  2. 依赖 Servlet 的过滤器的链式调用,实现对跨域请求的拦截和处理
  3. 依赖 Spring 的拦截器,实现对跨域请求的处理
  4. 如果在你的服务器前面有一层 nginx 代理,可以依赖 nginx 完成对跨域的支持

接下来依次记录。

使用 Spring MVC 配置跨域

Spring MVC 直接提供了对跨域的支持,可以直接进行配置。

Spring MVC + Java配置

直接覆盖

Application直接继承WebMvcConfigurerAdapter,然后在Application中直接复写所需方法

public class Application extends WebMvcConfigurerAdapter {  
  
    @Override  
    public void addCorsMappings(CorsRegistry registry) {  
  
        registry.addMapping("/**")  
                .allowCredentials(true)  
                .allowedHeaders("*")  
                .allowedOrigins("*")  
                .allowedMethods("*");  
  
    }  
}

创建配置Bean

在某个@Component中直接返回一个WebMvcConfigurerAdapterbean

@Configuration
public class CORSConfiguration {
    public CORSConfiguration() {
    }

    @Bean
    public WebMvcConfigurer devCorsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")  
                .allowCredentials(true)  
                .allowedHeaders("*")  
                .allowedOrigins("*")  
                .allowedMethods("*");  
            };
        }
    }
}

Spring MVC + XML 配置

<!-- CORS配置 -->
<mvc:cors>
  <mvc:mapping path="/api/**"
               allowed-origins="*"
               allowed-methods="*"
               allowed-headers="*"
               allow-credentials="true"
               max-age="3600"/>
</mvc:cors>

注意,如果需要cors标签,命名空间需要写成http://www.springframework.org/schema/mvc/spring-mvc.xsd,xsd文件不要精确到版本编号,否则在校验 xml 时会失败。

使用过滤器配置跨域

使用 SpringBoot 的 CORS 过滤器

配置代码如下:

@Bean
public FilterRegistrationBean<Filter> corsFilter(SwordCorsProperties properties) {
  UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
  source.registerCorsConfiguration(properties.getPath(), properties.getConfiguration());
  FilterRegistrationBean<Filter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
  bean.setOrder(0);
  return bean;
}

其中,入参为跨域要支持的域名、方法等配置,是对 SpringBoot配置的定制:

/**
 * 注意了,那个AllowCredentials最好配置成 true
 **/
@ConfigurationProperties(prefix = "sword.cors.filter")
public class SwordCorsProperties {

    private CorsConfiguration configuration = new CorsConfiguration().applyPermitDefaultValues();

    private String path = "/api/**";

    public CorsConfiguration getConfiguration() {
        return configuration;
    }

    public void setConfiguration(CorsConfiguration configuration) {
        this.configuration = configuration;
    }

    public String getPath() {
        return path;
    }

    public void setPath(String path) {
        this.path = path;
    }
}

根据跨域规则定制过滤器

自行实现javax.servlet.Filter接口,实现对跨域请求的拦截和返回。并在 web.xml 中配置使其生效:

<filter>
  <filter-name>C</filter-name>
  <filter-class>你写的拦截器的类</filter-class>
  <init-param>
    <param-name>C_input</param-name>
    <param-value>C_input</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>C</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

使用拦截器配置跨域

自行实现org.springframework.web.servlet.HandlerInterceptor接口,实现对跨域请求的拦截和返回。并在 Spring-mvc.xml 中配置使其生效:

 <!--拦截器-->
<mvc:interceptors>
 <mvc:interceptor>
        <mvc:mapping path="/api/**"/>
        <bean id="XXX" class="你写的拦截器的类"/>
    </mvc:interceptor>
</mvc:interceptors>

使用 nginx 配置跨域

这个方法是我在总结时别人给我随口说的,去网上看了一下,发现是可以的。既然只是要在OPTIONS请求结果中添加对应的header,那么在nginx层完全可以做到:

location / {
   # 检查域名后缀
   if ($http_origin ~ \.test\.com) {
        add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
        add_header Access-Control-Max-Age 1728000;
   }
   # options请求不转给后端,直接返回204
   # 第二个if会导致上面的add_header无效,这是nginx的问题,这里直接重复执行下
   if ($request_method = OPTIONS) {
        add_header Access-Control-Allow-Origin $http_origin;
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        add_header Access-Control-Allow-Credentials true;
        add_header Access-Control-Allow-Headers DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type;
        add_header Access-Control-Max-Age 1728000;
        return 204;
   }
    
   # 其他请求代理到后端
   proxy_set_header Host $host;
   proxy_redirect off;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Scheme $scheme;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
   proxy_pass http://xxx.xxx.xxx.xxx;
}

以上配置实现了:

  • 对指定域名的跨域支持
  • 对其他OPTION跨域请求的相应

还有做的比较粗糙的,统一在所有返回结果都增加对应的header:

# 直接请求nginx也是会报跨域错误的这里设置允许跨域
# 如果代理地址已经允许跨域则不需要这些, 否则报错(虽然这样nginx跨域就没意义了)
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Headers X-Requested-With;
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
add_header Access-Control-Allow-Credentials true;

add_header可以配置在http,server,location中,但是有覆盖关系——仅最近一处的add_header起作用。httpserverlocation三处均可配置add_header,但起作用的是最接近的配置,往上的配置都会失效。

文献

springboot服务端配置:

https://blog.csdn.net/qq779446849/article/details/53102925

nginx支持跨域:

https://segmentfault.com/a/1190000012028144

https://blog.csdn.net/m0_37886429/article/details/83618506

Nginx add_header 注意点:

https://juejin.im/post/5c602a21f265da2dc00632be

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,254评论 6 492
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,875评论 3 387
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,682评论 0 348
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,896评论 1 285
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,015评论 6 385
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,152评论 1 291
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,208评论 3 412
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,962评论 0 268
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,388评论 1 304
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,700评论 2 327
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,867评论 1 341
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,551评论 4 335
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,186评论 3 317
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,901评论 0 21
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,142评论 1 267
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,689评论 2 362
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,757评论 2 351

推荐阅读更多精彩内容