SpringBoot使用CORS解決跨域請求問題

什么是跨域？

同源策略是瀏覽器的一個安全功能，不同源的客戶端腳本在沒有明確授權的情況下，不能讀寫對方資源。 同源策略是瀏覽器安全的基石。

如果一個請求地址里面的協議、域名和端口號都相同，就屬於同源。

舉個栗子

判斷下面URL是否和 http://www.a.com/a/a.html 同源

• http://www.a.com/b/b.html 同源
• http://www.b.com/a/a.html 不同源，域名不相同
• https://www.a.com/b/b.html 不同源，協議不相同
• http://www.a.com:8080/b/b.html 不同源，端口號不相同

依據瀏覽器同源策略，非同源腳本不可操作其他源下面的對象。想要操作其他源下的對象就需要跨域。

綜上所述，在同源策略的限制下，非同源的網站之間不能發送 AJAX 請求。如有需要，可通過降域或其他技術實現。

CORS 技術

為了解決瀏覽器跨域問題，W3C 提出了跨源資源共享方案，即 CORS(Cross-Origin Resource Sharing)。

CORS 可以在不破壞即有規則的情況下，通過后端服務器實現 CORS 接口，就可以實現跨域通信。

CORS 將請求分為兩類：簡單請求和非簡單請求，分別對跨域通信提供了支持。

1、簡單請求

在CORS出現前，發送HTTP請求時在頭信息中不能包含任何自定義字段，且 HTTP 頭信息不超過以下幾個字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type （僅限於 [application/x-www-form-urlencoded 、multipart/form-data、text/plain ] 類型）

一個簡單請求的例子：

GET /test HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate, sdch, br
Origin: http://www.test.com
Host: www.test.com

對於簡單請求，CORS的策略是請求時在請求頭中增加一個Origin字段，服務器收到請求后，根據該字段判斷是否允許該請求訪問。

• 如果允許，則在 HTTP 頭信息中添加 Access-Control-Allow-Origin 字段，並返回正確的結果 ；
• 如果不允許，則不在 HTTP 頭信息中添加 Access-Control-Allow-Origin 字段 。

除了上面提到的 Access-Control-Allow-Origin ，還有幾個字段用於描述 CORS 返回結果 ：

• Access-Control-Allow-Credentials： 可選，用戶是否可以發送、處理 cookie；
• Access-Control-Expose-Headers：可選，可以讓用戶拿到的字段。有幾個字段無論設置與否都可以拿到的，包括：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma 。

2、非簡單請求

對於非簡單請求的跨源請求，瀏覽器會在真實請求發出前，增加一次OPTION請求，稱為預檢請求(preflight request)。預檢請求將真實請求的信息，包括請求方法、自定義頭字段、源信息添加到 HTTP 頭信息字段中，詢問服務器是否允許這樣的操作。

例如一個GET請求：

OPTIONS /test HTTP/1.1
Origin: http://www.test.com
Access-Control-Request-Method: GET
Access-Control-Request-Headers: X-Custom-Header
Host: www.test.com

與 CORS 相關的字段有：

• 請求使用的 HTTP 方法 Access-Control-Request-Method 
• 請求中包含的自定義頭字段 Access-Control-Request-Headers 

服務器收到請求時，需要分別對 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 進行驗證，驗證通過后，會在返回 HTTP頭信息中添加 ：

Access-Control-Allow-Origin: http://www.test.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

他們的含義分別是：

• Access-Control-Allow-Methods: 真實請求允許的方法
• Access-Control-Allow-Headers: 服務器允許使用的字段
• Access-Control-Allow-Credentials: 是否允許用戶發送、處理 cookie
• Access-Control-Max-Age: 預檢請求的有效期，單位為秒。有效期內，不會重復發送預檢請求

當預檢請求通過后，瀏覽器才會發送真實請求到服務器。這樣就實現了跨域資源的請求訪問。

Spring Boot CORS 實現

spring mvc 4.2版本增加了對cors的支持，通過spring boot可以非常簡單的實現跨域訪問。

使用@CrossOrigin 注解實現（局部）

接口方法注解 ，僅對該接口方法有效：

@CrossOrigin(origins = {"http://localhost:8088", "null"})
@RequestMapping(value = "/test", method = RequestMethod.GET)
public String greetings() {
    return "{\"project\":\"it is a test\"}";
}

類注解，對該類聲明所有接口都有效：

@CrossOrigin(origins = {"http://localhost:8088", "null"})
@RestController
@SpringBootApplication
public class SpringBootCorsTestApplication {
   ...
}

使用配置類實現（全局）

全局配置，作用全局，需要添加一個配置類 ：

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")　　// 允許跨域訪問的路徑
                .allowedOrigins("*")　　// 允許跨域訪問的源
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")　　// 允許請求方法
                .maxAge(168000)　　// 預檢間隔時間
                .allowCredentials(true);　　// 是否發送cookie
    }
}

使用過濾器實現（全局）

全局過濾器，作用全局，需要添加一個過濾器 ：

@Configuration
public class CorsConfig {
    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
　　　　　// 是否發送cookie
        config.setAllowCredentials(true);
        // 允許的網站域名，全允許則設為 *
        config.addAllowedOrigin("http://localhost:8088");
        // 允許 HEADER 或 METHOD ， * 為全部
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        // 這個順序很重要，為避免麻煩請設置在最前
        bean.setOrder(0);
        return bean;
    }
}

簡單原理解析

無論是通過哪種方式配置 CORS，其實都是在構造 CorsConfiguration。

一個 CORS 配置用一個 CorsConfiguration類來表示，它的定義如下：

public class CorsConfiguration {
    private List<String> allowedOrigins;
    private List<String> allowedMethods;
    private List<String> allowedHeaders;
    private List<String> exposedHeaders;
    private Boolean allowCredentials;
    private Long maxAge;
}

Spring 中對 CORS 規則的校驗，都是通過委托給 DefaultCorsProcessor實現的。

DefaultCorsProcessor 處理過程如下：

1. 判斷依據是 Header中是否包含 Origin。如果包含則說明為 CORS請求，轉到 2；否則，說明不是 CORS 請求，不作任何處理。
2. 判斷 response 的 Header 是否已經包含 Access-Control-Allow-Origin，如果包含，證明已經被處理過了, 轉到 3，否則不再處理。
3. 判斷是否同源，如果是則轉交給負責該請求的類處理
4. 是否配置了 CORS 規則，如果沒有配置，且是預檢請求，則拒絕該請求，如果沒有配置，且不是預檢請求，則交給負責該請求的類處理。如果配置了，則對該請求進行校驗。

校驗就是根據 CorsConfiguration 這個類的配置進行判斷：

1. 判斷 origin 是否合法
2. 判斷 method 是否合法
3. 判斷 header是否合法
4. 如果全部合法，則在 response header中添加響應的字段，並交給負責該請求的類處理，如果不合法，則拒絕該請求。

---

作者：朝雨憶輕塵
出處：https://www.cnblogs.com/xifengxiaoma/ 
版權所有，歡迎轉載，轉載請注明原文作者及出處。