Spring 跨域配置請求詳解

更新時間：2019年01月09日 15:09:40 作者：BBFBBF

這篇文章主要介紹了Spring 跨域配置請求詳解，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

介紹

跨站 HTTP 請求(Cross-site HTTP request)是指發(fā)起請求的資源所在域不同于該請求所指向資源所在的域的 HTTP 請求。比如說，域名A（http://domaina.example）的某 Web 應(yīng)用程序中通過標(biāo)簽引入了域名B（http://domainb.foo）站點的某圖片資源（http://domainb.foo/image.jpg），域名A的那 Web 應(yīng)用就會導(dǎo)致瀏覽器發(fā)起一個跨站 HTTP 請求。在當(dāng)今的 Web 開發(fā)中，使用跨站 HTTP 請求加載各類資源（包括CSS、圖片、JavaScript 腳本以及其它類資源），已經(jīng)成為了一種普遍且流行的方式。

出于安全考慮，瀏覽器會限制腳本中發(fā)起的跨站請求。比如，使用 XMLHttpRequest 對象發(fā)起 HTTP 請求就必須遵守同源策略（same-origin policy）。具體而言，Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發(fā)起 HTTP 請求，而不能向任何其它域名發(fā)起請求。為了能開發(fā)出更強大、更豐富、更安全的Web應(yīng)用程序，開發(fā)人員渴望著在不丟失安全的前提下，Web 應(yīng)用技術(shù)能越來越強大、越來越豐富。比如，可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請求。（這段描述跨域不準(zhǔn)確，跨域并非瀏覽器限制了發(fā)起跨站請求，而是跨站請求可以正常發(fā)起，但是返回結(jié)果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理，請求是發(fā)送到了后端服務(wù)器無論是否跨域！注意：有些瀏覽器不允許從HTTPS的域跨域訪問HTTP，比如Chrome和Firefox，這些瀏覽器在請求還未發(fā)出的時候就會攔截請求，這是一個特例。）

普通參數(shù)跨域

在response的頭文件添加

httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");
httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");
httpServletResponse.setHeader("Allow","POST");

參數(shù)	值	描述
Access-Control-Allow-Origin	*	授權(quán)的源控制
Access-Control-Allow-Credentials	true / false	是否允許用戶發(fā)送和處理cookie
Access-Control-Allow-Methods	[,]*	允許請求的HTTP Method，多個用逗號分隔
Access-Control-Allow-Headers	[,]*	控制哪些header能發(fā)送真正的請求，多個用逗號分隔
Access-Control-Max-Age	秒	授權(quán)的時間，單位為秒。有效期內(nèi)，不會重復(fù)發(fā)送預(yù)檢請求

帶headr請求跨域

這樣客戶端需要發(fā)起OPTIONS請求，可以說是一個【預(yù)請求】，用于探測后續(xù)真正需要發(fā)起的跨域 POST 請求對于服務(wù)器來說是否是安全可接受的，因為跨域提交數(shù)據(jù)對于服務(wù)器來說可能存在很大的安全問題。

因為Springmvc模式是關(guān)閉OPTIONS請求的，所以需要開啟

<servlet>  
 <servlet-name>application</servlet-name>
 <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
 <init-param>
  <param-name>dispatchOptionsRequest</param-name>
  <param-value>true</param-value>
 </init-param>
 <load-on-startup>1</load-on-startup>
</servlet>

開啟CORS

SpringMVC從4.2版本開始增加了對CORS的支持。在springMVC 中增加CORS支持非常簡單，可以配置全局的規(guī)則，也可以使用@CrossOrigin注解進(jìn)行細(xì)粒度的配置。

使用@CrossOrigin注解

先通過源碼看看該注解支持的屬性

在Controller上使用@CrossOrigin注解

// 指定當(dāng)前的AccountController中所有的方法可以處理所有域上的請求
@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600L)
@RestController
@RequestMapping("/account")
public class AccountController {

 @CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})
 @RequestMapping("/{id}")
 public Account retrieve(@PathVariable Long id) {
  // ...
 }

 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
 public void remove(@PathVariable Long id) {
  // ...
 }
}

CORS全局配置

除了細(xì)粒度基于注解的配置，可以定義全局CORS的配置。這類似于使用過濾器，但可以在Spring MVC中聲明，并結(jié)合細(xì)粒度@CrossOrigin配置。默認(rèn)情況下所有的域名和GET、HEAD和POST方法都是允許的。

基于XML的配置

<mvc:cors>
 <mvc:mapping path="/api/**"
  allowed-origins="http://domain1.com, http://domain2.com"
  allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"
  allowed-headers="header1, header2, header3"
  exposed-headers="header1, header2" 
  allow-credentials="false"
  max-age="72000" />

  <mvc:mapping path="/resources/**"
  allowed-origins="http://domain3.com" />
</mvc:cors>

基于代碼的配置

這個方法同樣適用于SpringBoot。

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

 @Override
 public void addCorsMappings(CorsRegistry registry) {
  registry.addMapping("/api/**")
   .allowedOrigins("http://domain1.com")
   .allowedOrigins("http://domain2.com")
   .allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");
   .allowedHeaders("header1", "header2", "header3")
   .exposedHeaders("header1", "header2")
   .allowCredentials(false)
   .maxAge(72000L);
   
  registry.addMapping("/resources/**")
   .allowedOrigins("http://domain3.com");
 }
}

基于過濾器的配置

import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean
public FilterRegistrationBean corsFilter() {
 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
 CorsConfiguration config = new CorsConfiguration();
 config.addAllowedOrigin("http://domain1.com");
 config.addAllowedOrigin("http://domain2.com");
 config.addAllowedHeader("*");
 config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");
 config.setAllowCredentials(true);
 config.setMaxAge(72000L);
 // CORS 配置對所有接口都有效
 source.registerCorsConfiguration("/**", config);
 FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
 bean.setOrder(0);
 return bean;
}

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: