跨域问题:CORS解决跨域原理

跨域问题:CORS解决跨域原理

1.什么是跨域问题?如图

在这里插入图片描述
1.1跨域问题需要满足以下条件
1.1.1 跨域
域名不同,域名相同,端口不同或者二级域名不同

1.1.2 是针对ajax的一种限制

跨域问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是于当前页同域名的路径,这能有效的阻止跨站攻击

2.怎么解决跨域问题

2.1目前比较常用的跨域解决方案有3种:
Jsonp

最早的解决方案,利用script标签可以跨域的原理实现。

限制:

需要服务的支持

只能发起GET请求

nginx反向代理

思路是:利用nginx反向代理把跨域为不跨域,支持各种请求方式

缺点:需要在nginx进行额外配置,语义不清晰

CORS

规范化的跨域请求解决方案,安全可靠。

优势:

在服务端进行控制是否允许跨域,可自定义规则

支持各种请求方式

3.CORS解决跨域

3.1什么是CORS
3.1.1CORS允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制

浏览器端:

目前,所有浏览器都支持该功能(IE10以下不行)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。

服务端:

CORS通信与AJAX没有任何差别,因此你不需要改变以前的业务逻辑。只不过,浏览器会在请求中携带一些头信息,我们需要以此判断是否允许其跨域,然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。

3.2实现原理
浏览器会将ajax请求分为两类,其处理方案略有差异:简单请求、特殊请求。

3.1简单请求 =>(请求方法:HEAD、GET、POST)
3.1.1解决:在请求头中携带一个字段:Origin
Origin中会指出当前请求属于哪个域(协议+域名+端口)。服务会根据这个值决定是否允许其跨域

如果服务器允许跨域,需要在返回的响应头中携带下面信息:

Access-Control-Allow-Origin: 允许跨域的域名
Access-Control-Allow-Credentials: true

3.2特殊请求=>(不符合简单请求的会被浏览器判定为特殊请求,,例如请求方式为PUT)
如果是特殊请求产生的跨域会先发起一次OPTIONS预检请求,如果预检请求通过了,才会发送真正的请求。

特殊请求会在正式通信之前,增加一次HTTP查询请求,称为"预检"请求(preflight)。

浏览器先询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。

与简单请求相比,除了Origin以外,多了两个头:

Access-Control-Request-Method:接下来会用到的请求方式,比如PUT

Access-Control-Request-Headers:会额外用到的头信息

4.CORS解决跨域方式

4.1方式一:只需要在controller类上添加注解@CrossOrigin 即可!这个注解其实是CORS的实现(这个一般不会采用,麻烦,每个控制器都得加)
跨域问题:CORS解决跨域原理_第1张图片
4.3方式二:在拦截器配置(推荐)

package cn.mindgd.config;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.List;

public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //表示接受任意域名的请求,也可以指定域名
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("origin"));

        //该字段可选,是个布尔值,表示是否可以携带cookie
        response.setHeader("Access-Control-Allow-Credentials", "true");

        response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS");

        response.setHeader("Access-Control-Allow-Headers", "*");


        return true;

    }
}
package cn.mindgd.config;


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 拦截器配置
 */
@Configuration
public class InterceptorConfig implements WebMvcConfigurer {


    @Bean
    AuthInterceptor corsInterceptor() {
        return new AuthInterceptor();
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        /**
         * 拦截全部路径,这个跨域需要放在最上面
         */
        registry.addInterceptor(corsInterceptor()).addPathPatterns("/**");

        WebMvcConfigurer.super.addInterceptors(registry);

    }

}

4.2方式三:在网关解决,SpringCloudGateway是Spring官方出品
跨域问题:CORS解决跨域原理_第2张图片

spring:
  cloud:
    gateway:
      globalcors:
        corsConfigurations:
          '[/**]':
            allowedOrigins:
              - "www.xxx.com" #允许跨域的域名
            allowedHeaders:
              - "*"
            allowCredentials: true
            maxAge: 360000
            allowedMethods:
              - GET
              - POST
              - DELETE
              - PUT
              - OPTIONS
              - HEAD

想看更多精彩内容,可以关注我的博客园
我的博客园

你可能感兴趣的:(java,ajax跨域问题)