跨域问题及解决方案

跨域问题及解决方案

什么是跨域？

跨域是指跨域名的访问，以下情况都是跨域：

示例	跨域原因说明
域名不同	www.baidu.com与www.sina.com
域名相同，端口不同	www.rayfoo.cn:8080与 www.rayfoo.cn:8082
二级域名不同	blog.rayfoo.cn与cloud.rayfoo.cn

域名、端口都相同，但是请求路径相同 不属于跨域，如：

www.baidu.com/baike

www.baidu.com/music

为什么会有跨域问题？

跨域不一定会有跨域问题。

因为跨域问题是浏览器对于ajax请求的一种安全限制：一个页面发起的ajax请求，只能是与当页面同域名的路径，这能有效的防止跨站攻击。

因此：跨域问题是针对ajax的一种限制。

但是这却对开发带来了不便，而且在实际生成环境中，肯定会有很多台服务器之间的交互，地址和端口都不同应该怎么解决呢？

跨域问题的解决方案

目前比较常见的跨域解决方案有三种：

• JsonP

  早期的解决方案，利用script标签可以跨域的原理实现

  • 需要服务的支持
  • 只能发起get请求

• Nginx反向代理

  • 思路：利用nginx反向代理把跨域为不跨域，支持各种请求方式
  • 缺点：需要在nginx进行额外配置，语义不清晰

• CORS

  规范化的跨域解决方案，安全可靠

  优势：

  • 在服务端进行控制是否支持跨域，可自定义规则
  • 支持各种请求方式

  缺点

  • 会产生额外的请求

CORS解决跨域

什么是CORS

CORS是W3C标准，全称是（Cross-Origin Resource Sharing）跨域资源共享。

它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于10。

• 浏览器端：

  整个CORS通信过程都由服务器自动完成，不需要用户参与。

• 服务器端：

  CORS通信与AJAX没有任何差别，因此无需改变业务逻辑，只不过，浏览器会在请求中携带一些请求头信息，需要判断是否运行其跨域，然后在响应头中加入一些信息即可。这一般通过过滤器来完成。

原理

浏览器会将AJAX请求分为两类，其处理方案有差异：简单请求、特殊请求。

简单请求

只要同时满足以下两大条件，就属于简单请求：

（1）请求方法是一下三种之一

• HEAD
• GET
• POST

（2）HTTP的头信息不超出以下几种字段

• Accept
• Accept-Language
• Context-Language
• Last-Event-ID
• Context-Type只限于这三个值
  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

当浏览器发现发送的ajax是简单请求时，会在请求头中携带一个字段：origin（origin 远端）

Origin中会指出当前请求属于哪个域（协议+域名+端口），服务会根据这个值决定是否允许其跨域。如果服务器允许跨域，需要在返回的响应头中携带下面的信息：

如果服务器允许跨域，需要在返回的请求头中携带下面信息：

Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true

• Access-Control-Allow-Origin:可接受的域，是指一个具体的域名或者*，*代表任意

• Access-Control-Allow-Credentials: 是否允许携带Cookie，默认情况CORS不会携带Cookie，除非其值是true。

特殊请求

不符合简单请求的条件，会被浏览器判定Wie特殊请求，例如请求方式为POST.

特殊请求在正式通讯之前，会增加一次http查询请求，成为预检请求。

浏览器先询问服务器，当前网页所在的域名是否在服务求的许可名单中，以及可以使用哪些HTTP的动词和头信息字段，只有得到肯定的答复，浏览器才会正式的发出XMLHttpRequest请求，否则就会报错。

一个预检请求的模板

OPTIONS /cors HTTP/1.1
Origin: http://manage.leyou.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

与简单请求相比，除了Origin以外，多了两个头：

• Access-Control-Request-Method：接下来会用到的请求方式，比如PUT
• Access-Control-Request-Headers：会额外用到的头信息

服务的收到预检请求，如果许可跨域，会发出响应：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true 						#是否允许访问cookie
Access-Control-Allow-Methods: GET, POST, PUT			#允许的请求方式
Access-Control-Allow-Headers: X-Custom-Header			#允许的请求头
Access-Control-Max-Age: 1728000										#当前预检请求的有效期S
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外，这里又额外多出3个头：

• Access-Control-Allow-Methods：允许访问的方式
• Access-Control-Allow-Headers：允许携带的头
• Access-Control-Max-Age：本次许可的有效时长，单位是秒，过期之前的ajax请求就无需再次进行预检了

如果浏览器得到上述响应，则认定为可以跨域，后续就跟简单请求的处理是一样的了。

实战

在zull项目中，创建一个配置类，加入如下代码即可：

package com.leyou.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @Author: rayfoo@qq.com
 * @Date: 2020/7/13 2:09 下午
 * @Description: 跨域请求处理
 */
@Configuration
public class GlobalCorsConfig {

    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域,不要写*，否则cookie就无法使用了
        config.addAllowedOrigin("http://manage.leyou.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4）允许的头信息  一般不用* 可以约定一个头信息
        config.addAllowedHeader("*");
        // 5) 有效时长
        config.setMaxAge(3600L);

        //2.添加映射路径，我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }

}