Web 跨域請求問題的解決方案- CORS 方案

1.什么是跨域

---

跨域是指跨域名的訪問，以下情況都屬於跨域：

跨域現象	實例
域名不相同	www.baidu.com與www.taobao
一級域名相同，但是端口不相同	www.baidu.com：8080 與 www.baidu.com:9090
二級域名不相同	news.baidu.com 與baike.baidu.com

注：如果域名與端口均相同，只是請求的路徑不相同，則不屬於跨域，例如：
www.baidu.com/item
www.baidu.com/guonei

2.為什么又跨域問題

tpis:跨域不一定會有跨域問題。

因為跨域問題是瀏覽器對於ajax請求的一種安全限制：

一個頁面發起的ajax請求，只能是於當前頁同域名的路徑，這能有效的阻止跨站攻擊。

若沒有該限制，那么任意一個網站中的js腳本都可以對其他任意網站進行惡意的攻擊，因為cookie是瀏覽器端保存的重要數據，這樣子就可以通過cookie在來跨域訪問同一瀏覽器打開的網站，存在嚴重安全隱患；

因此：跨域問題 是針對ajax的一種限制。

但是這卻給我們的開發帶來了不便，而且在實際生成環境中，肯定會有很多台服務器之間交互，地址和端口都可能不同

3.解決跨域問題的方案

目前主流的解決跨域問題的方案有三種：

• jsonp
  早期的跨域主流解決方案，其原理通過script標簽進行跨域實現
  限制：

  • 需要服務端的支持
  • 只能發起GET請求，局限性大

• nginx反向代理
  思想： 利用nginx方向代理的功能，將原本跨域的請求代理為不跨域的 ，支持各種請求方式
  缺點： 需要在nginx服務器上進行額外的配置，同時需要維護大量的域名地址，如意混淆

• CORS
  目前主流的跨域解決方案，該方案安全可靠，目前應用廣泛。
  優勢：

  • 在服務端進行控制來確定是否允許跨域，規則可以自定義
  • 支持各種請求方式 （七大請求方式均支持）
    缺點：
  • 會產生額外的請求

4.解決方案明細

4.1 CORS跨域解決方案

4.1.1 CORS簡介

CORS是一個W3C標准，全稱是"跨域資源共享"（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

CORS需要瀏覽器和服務器同時支持。目前，所有瀏覽器都支持該功能，IE瀏覽器不能低於IE10。

• 瀏覽器端：
  目前，所有瀏覽器都支持該功能（IE10以下不行）。整個CORS通信過程，都是瀏覽器自動完成，不需要用戶參與。

• 服務端：
  CORS通信與AJAX沒有任何差別，因此你不需要改變以前的業務邏輯。只不過，瀏覽器會在請求中攜帶一些頭信息，我們需要以此判斷是否運行其跨域，然后在響應頭中加入一些信息即可。 這一般通過過濾器即可實現

4.1.2 原理

當前瀏覽器會將我們的Ajax請求進行分類，根據其處理方案的差異分為:簡單請求、特殊請求

簡單請求
需要同時滿足以下兩大條件，才屬於簡單請求：
1）請求方式必須是以下三種方式中的一種：

• HEAD
• GET
• POST

2）HTTP請求的頭信息不能超出以下幾種字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Conten-Type:只能是 application/x-www-form-urlencoded、multipart/form-data、text/plain三個中的任意一個

當瀏覽器發現發送的ajax請求是簡單請求時，會在請求頭中攜帶一個字段：Origin.

Origin中會指出當前請求屬於哪個域（協議+域名+端口）。服務會根據這個值決定是否允許其跨域。

如果服務器允許跨域，需要在返回的響應頭中攜帶下面信息：

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8

• Access-Control-Allow-Origin：可接受的域，是一個具體域名或者*，代表任意
• Access-Control-Allow-Credentials：是否允許攜帶cookie，默認情況下，cors不會攜帶cookie，除非這個值是true

注意：

如果跨域請求要想操作cookie，需要滿足3個條件：

• 服務的響應頭中需要攜帶Access-Control-Allow-Credentials並且為true。
• 瀏覽器發起ajax需要指定withCredentials 為true
• 響應頭中的Access-Control-Allow-Origin一定不能為*，必須是指定的域名

特殊請求

不符合簡單請求的條件，會被瀏覽器判定為特殊請求,，例如請求方式為PUT。

預檢請求

特殊請求會在正式通信之前，增加一次HTTP查詢請求，稱為"預檢"請求（preflight）。

瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答復，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

一個“預檢”請求的樣板：

OPTIONS /cors HTTP/1.1
Origin: http://baike.baidu.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

與簡單請求相比，除了Origin以外，多了兩個頭：

• Access-Control-Request-Method：接下來會用到的請求方式，比如PUT
• Access-Control-Request-Headers：會額外用到的頭信息

預檢請求的響應

服務的收到預檢請求，如果許可跨域，會發出響應：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://baike.baidu.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外，這里又額外多出3個頭：

• Access-Control-Allow-Methods：允許訪問的方式
• Access-Control-Allow-Headers：允許攜帶的頭
• Access-Control-Max-Age：本次許可的有效時長，單位是秒，過期之前的ajax請求就無需再次進行預檢了

如果瀏覽器得到上述響應，則認定為可以跨域，后續就跟簡單請求的處理是一樣的了。

4.1.3 代碼實現

在我們代碼實現時，其實非常簡單，只需要明白一點，我們不需要管瀏覽器端，瀏覽器端會自動處理。我們只在乎服務端的處理，針對服務器端我們可以很明確。需要注意：

• 需要對所有的controller層進行處理
• 需要所有的請求都要進行跨域處理

更具這種情況，是典型的AOP思想，我們可以采用攔截器實現該功能；
實際上我們springmvc框架中已經自己實現了CORS的跨域過濾器，我們只需要直接調用處理就好；我們這里采用javacondif的方式進行配置書寫，需要spring3以上版本支持；也可采用傳統XML形式，這里不在闡述，具體代碼如下：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允許的域,不要寫*，否則cookie就無法使用了
        config.addAllowedOrigin("http://manage.i-code.online");
        //2) 是否發送Cookie信息
        config.setAllowCredentials(true);
        //3) 允許的請求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4）允許的頭信息
        config.addAllowedHeader("*");
      	//5)有效時長
        config.setMaxAge(3600L);
        //2.添加映射路徑，我們攔截一切請求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

本文由AnonyStar 發布,可轉載但需聲明原文出處。
仰慕「優雅編碼的藝術」 堅信熟能生巧，努力改變人生
歡迎關注微信公賬號 ：coder簡碼 獲取更多優質文章
更多文章關注筆者博客 ：IT簡碼