跨站 HTTP 請求(Cross-site HTTP request)是指發起請求的資源所在域不同於該請求所指向資源所在的域的 HTTP 請求。比如說,域名A(http://domaina.example)的某 Web 應用程序中通過
標簽引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會導致瀏覽器發起一個跨站 HTTP 請求。在當今的 Web 開發中,使用跨站 HTTP 請求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成為了一種普遍且流行的方式。
正如大家所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。比如,使用 XMLHttpRequest 對象發起 HTTP 請求就必須遵守同源策略(same-origin policy)。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。為了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望着在不丟失安全的前提下,Web 應用技術能越來越強大、越來越豐富。比如,可以使用 XMLHttpRequest 發起跨站 HTTP 請求。(這段描述跨域不准確,跨域並非瀏覽器限制了發起跨站請求,而是跨站請求可以正常發起,但是返回結果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請求是發送到了后端服務器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)
更多CORS介紹請看這里:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
在WEB項目中,如果我們想支持CORS,一般都要通過過濾器進行實現,可以定義一些基本的規則,但是不方便提供更細粒度的配置,如果你想參考過濾器實現,你可以閱讀下面這篇文章:
Spring MVC 從4.2版本開始增加了對CORS的支持
在spring MVC 中增加CORS支持非常簡單,可以配置全局的規則,也可以使用@CrossOrigin注解進行細粒度的配置。
使用@CrossOrigin注解
先通過源碼看看該注解支持的屬性:
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
String[] DEFAULT_ORIGINS = { "*" };
String[] DEFAULT_ALLOWED_HEADERS = { "*" };
boolean DEFAULT_ALLOW_CREDENTIALS = true;
long DEFAULT_MAX_AGE = 1800;
/**
* 同origins屬性一樣
*/
@AliasFor("origins")
String[] value() default {};
/**
* 所有支持域的集合,例如"http://domain1.com"。
* <p>這些值都顯示在請求頭中的Access-Control-Allow-Origin
* "*"代表所有域的請求都支持
* <p>如果沒有定義,所有請求的域都支持
* @see #value
*/
@AliasFor("value")
String[] origins() default {};
/**
* 允許請求頭重的header,默認都支持
*/
String[] allowedHeaders() default {};
/**
* 響應頭中允許訪問的header,默認為空
*/
String[] exposedHeaders() default {};
/**
* 請求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
* 默認支持RequestMapping中設置的方法
*/
RequestMethod[] methods() default {};
/**
* 是否允許cookie隨請求發送,使用時必須指定具體的域
*/
String allowCredentials() default "";
/**
* 預請求的結果的有效期,默認30分鍾
*/
long maxAge() default -1;
}
如果你對這些屬性的含義不是很明白,建議閱讀下面的文章了解更多:
下面舉例在方法和Controller上使用該注解。
在Controller上使用@CrossOrigin注解
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
這里指定當前的AccountController中所有的方法可以處理http://domain2.com域上的請求,
在方法上使用@CrossOrigin注解
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin("http://domain2.com")
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
在這個例子中,AccountController類上也有@CrossOrigin注解,retrieve方法上也有注解,Spring會合並兩個注解的屬性一起使用。
CORS全局配置
除了細粒度基於注解的配置,你可能會想定義一些全局CORS的配置。這類似於使用過濾器,但可以在Spring MVC中聲明,並結合細粒度@CrossOrigin配置。默認情況下所有的域名和GET、HEAD和POST方法都是允許的。
基於JAVA的配置
看下面例子
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
}
您可以輕松地更改任何屬性,以及配置適用於特定的路徑模式的CORS:
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain2.com")
.allowedMethods("PUT", "DELETE")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge(3600);
}
}
如果你使用Spring Boot,你可以通過這種方式方便的進行配置。
基於XML的配置
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>
這個配置和上面Java方式的第一種作用一樣。
同樣,你可以做更復雜的配置:
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain1.com" />
</mvc:cors>