跨域以及CORS相关知识简介

html同源策略是不允许JavaScript的跨域请求的,而使用CORS(Cross-origin resource sharing)可以实现跨域请求,当然也有其他的办法,常用的有JSONP方式来实现跨域,这里就简单的列举一下实现跨域的几种办法,对于CROS和JSONP详细的了解一下。

CROS

CROS可以实现跨域,是HTML5的标准,需要浏览器的支持,同时也需要服务器端的支持。使用CROS实现跨域,主要的工作是在后端实现,需要在服务器端做设置,一般都是设置http头中的Access-Control-Allow-Origin属性,用来指定哪些站点可以访问。

CROS常用属性

  • Access-Control-Allow-Origin,允许哪些站点访问。
  • Access-Control-Max-Age,表示多久之内不需要在发送预检请求,有关预检请求下面说明。
  • Access-Control-Allow-Methods,表示允许的请求方法,比如get、post、delete等。
  • Access-Control-Allow-Headers,表示允许的content-type。
  • Access-Control-Allow-Credentials,表示允许请求发送Cookie。
  • Access-Control-Expose-Headers,表示允许的Header。

CROS中简单请求和非简单请求

CROS中简单请求规则:

  • 请求方法是HEAD,GET或者POST。
  • HTTP头中只能包括以下几种:Accept,Content-Type,Content-Language,Accept-Language,Last-Event-ID

比如有一个get方法,请求头中包括的信息为以上列举的,当浏览器发送请求时发现这是一个简单请求,就会在发送的请求头中自动添加一个Origin表示请求发送的源地址。请求头如下:

GET /test HTTP/1.1
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0
Host: www.aaa.com
Origin: http://www.bbb.com

服务端接受到请求之后,根据Origin字段判断是否允许该请求,如果服务端允许,则在Http的头信息中添加Access-Control-Allow-Origin以及服务端配置的其他属性,然后返回正确的结果;如果服务端不允许该请求,不会在头信息中添加Access-Control-Allow-Origin属性。

服务端返回结果后,浏览器接收到请求,根据Access-Control-Allow-Origin来决定是否拦截该请求。如果没有这个属性,就会出错,有这个属性就可以正常处理。

非简单请求就是除了上面的简单请求之外的,都是非简单请求。非简单请求的跨域操作,其实会有两次请求到服务端,一次是预检请求(Prelight request),另外一次才是真正的请求。

比如当发送一个DELETE请求时,浏览器会发现这是一个非简单请求,就会先发送一个预检请求,请求如下:

OPTIONS /test HTTP/1.1
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0
Host: www.aaa.com
Origin: http://www.bbb.com
Access-Control-Request-Method: DELETE

请注意预检请求使用的是OPTIONS,预检请求会询问服务器是否允许Origin的DELETE方法,允许的话就可以回应了。

浏览器接收到预检请求的回应之后,会根据返回的头信息判断,不允许的话就报错,允许的话就可以发送正常请求了,正在的CORS请求和简单请求一样。

过滤器的形式使用CROS

通常可以使用过滤器的形式来实现CROS,只需要实现Filter接口,然后把自定义的过滤器配置到web.xml中即可。

public class CorsFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,DELETE,PUT,OPTIONS");
        response.setHeader("Access-Control-Allow-Credentials", true);
        response.setHeader("Access-Control-Allow-Headers"," Content-Type,X-Token");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Expose-Headers", "X-My-Header");
        chain.doFilter(req, res);
    }

    @Override
    public void destroy() {
    }
}

需要在web.xml中配置过滤器:

<!--支持跨域访问-->
<filter>
<filter-name>corsFilter</filter-name>
<filter-class>tb.admin.api.cors.CorsFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>corsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

服务器端设置好了CROS相关配置后,其他前端就可以跨域访问了。

SpringMVC中使用CROS

SpringMVC中使用CROS需要到4.2版本之后,并且使用很方便,如果版本对应的话,可以优先考虑使用Spring的CORS配置。

使用@CrossOrigin注解

Spring4.2中提供了@CrossOrigin注解,用来实现CROS,@CrossOrigin(origins = "http://localhost:9000")直接用在Controller中的方法上,也可以用在类级别上。该注解默认允许所有的origins,所有的headers,所有在@RequestMapping中指定的方法,maxAge默认为30分钟。(具体的可以看下Spring相关源码。)

使用全局CORS配置

还可以使用全局的CORS配置,继承WebMvcCOnfigurerAdapter来实现:

public class CorsConfigurerAdapter extends WebMvcConfigurerAdapter{
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/*").allowedOrigins("http://localhost:9000");
     }
}

其他的配置也可以依次添加,然后将该类注入到容器中即可。

nginx中配置CORS

如果使用了nginx的话,也可以在nginx中配置CORS来实现跨域请求,在nginx.conf里找到server项,并添加如下配置:

location / {
    add_header 'Access-Control-Allow-Origin' '*';
    add_header 'Access-Control-Allow-Credentials' 'true';
    add_header 'Access-Control-Allow-Headers' 'Authorization,Content-Type';
    add_header 'Access-Control-Allow-Methods' 'GET,POST,PUT,DELETE,OPTIONS';
...
}

nginx具体的测试没有做,猜测原理应该跟上面类似,暂先不做过多解释。

JSONP方式实现跨域

在CROS没有出现之前,JSONP方式实现跨域请求十分常见。JSONP原理实际上是对script标签的利用。需要服务端和前端都做处理,现在感觉耦合性有点大了,尤其是跟上面的CORS对比起来。

JSONP只支持get请求,但是它能够支持老的浏览器。

其他方法

其他方法还有使用document.domain,src标签,navigation对象,以及html5中的window.postMessage,这里都不做讲解,条件允许,尽量使用新的CORS来解决跨域问题。

原文链接

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,937评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,503评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,712评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,668评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,677评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,601评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,975评论 3 396
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,637评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,881评论 1 298
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,621评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,710评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,387评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,971评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,947评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,189评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,805评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,449评论 2 342

推荐阅读更多精彩内容

  • 前言:对于跨域请求,很早之前就有去了解过,但因为一直关注的都是服务器后端开发,故也就仅仅停留在概念的理解上而没有机...
    ken_ljq阅读 89,708评论 6 128
  • CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 ...
    奇特思维家阅读 1,118评论 0 3
  • XMLHttpRequest的跨域请求 动态添加一个标签,而script标签的src属性是没有跨域的限制的。这样说...
    葛高召阅读 22,473评论 0 0
  • 很荣幸也很高兴跟各位姐姐们一起跨鸡年,我实在是太高兴了,这么多年来难得找到的一种归属感,这种感觉很微妙,有时候感...
    3a53f0c32743阅读 355评论 0 0
  • 他又何尝听不出来你言语之中的情谊,他只是装作不明白而已。如果一个男生真的喜欢一个女生,他一定会表白的
    笔墨纸砚阅读 199评论 0 0