SpringBoot配置Cors解決跨域請求問題

1、同源策略簡介

同源策略[same origin policy]是瀏覽器的一個安全功能，不一樣源的客戶端腳本在沒有明確受權的狀況下，不能讀寫對方資源。 同源策略是瀏覽器安全的基石。

什麼是源

源[origin]就是協議、域名和端口號。例如：http://www.baidu.com:80這個URL。

什麼是同源

若地址裏面的協議、域名和端口號均相同則屬於同源。

是不是同源的判斷

例如判斷下面的URL是否與 http://www.a.com/test/index.html 同源

• http://www.a.com/dir/page.html 同源
• http://www.child.a.com/test/index.html 不一樣源，域名不相同
• https://www.a.com/test/index.html 不一樣源，協議不相同
• http://www.a.com:8080/test/index.html 不一樣源，端口號不相同

哪些操做不受同源策略限制

1. 頁面中的連接，重定向以及表單提交是不會受到同源策略限制的；
2. 跨域資源的引入是能夠的。可是JS不能讀寫加載的內容。如嵌入到頁面中的<script src="..."></script>，<img>，<link>，<iframe>等。

跨域

受前面所講的瀏覽器同源策略的影響，不是同源的腳本不能操做其餘源下面的對象。想要操做另外一個源下的對象就須要跨域。 在同源策略的限制下，非同源的網站之間不能發送 AJAX 請求。

如何跨域

• 降域

  能夠經過設置 document.damain='a.com'，瀏覽器就會認爲它們都是同一個源。想要實現以上任意兩個頁面之間的通訊，兩個頁面必須都設置documen.damain='a.com'。

• JSONP跨域

• CORS 跨域

2、CORS 簡介

爲了解決瀏覽器同源問題，W3C 提出了跨源資源共享，即 CORS(Cross-Origin Resource Sharing)。

CORS 作到了以下兩點：

• 不破壞即有規則
• 服務器實現了 CORS 接口，就能夠跨源通訊

基於這兩點，CORS 將請求分爲兩類：簡單請求和非簡單請求。

一、簡單請求

在CORS出現前，發送HTTP請求時在頭信息中不能包含任何自定義字段，且 HTTP 頭信息不超過如下幾個字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type 只限於 [application/x-www-form-urlencoded 、multipart/form-data、text/plain ] 類型

一個簡單的請求例子：

GET /test HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate, sdch, br
Origin: http://www.examples.com
Host: www.examples.com

對於簡單請求，CORS的策略是請求時在請求頭中增長一個Origin字段，服務器收到請求後，根據該字段判斷是否容許該請求訪問。

1. 若是容許，則在 HTTP 頭信息中添加 Access-Control-Allow-Origin 字段，並返回正確的結果 ；
2. 若是不 容許，則不在 HTTP 頭信息中添加 Access-Control-Allow-Origin 字段 。

除了上面提到的 Access-Control-Allow-Origin ，還有幾個字段用於描述 CORS 返回結果 ：

1. Access-Control-Allow-Credentials： 可選，用戶是否能夠發送、處理 cookie；
2. Access-Control-Expose-Headers：可選，可讓用戶拿到的字段。有幾個字段不管設置與否均可以拿到的，包括：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma 。

二、非簡單請求

對於非簡單請求的跨源請求，瀏覽器會在真實請求發出前，增長一次OPTION請求，稱爲預檢請求(preflight request)。預檢請求將真實請求的信息，包括請求方法、自定義頭字段、源信息添加到 HTTP 頭信息字段中，詢問服務器是否容許這樣的操做。

例如一個DELETE請求：

OPTIONS /test HTTP/1.1
Origin: http://www.examples.com
Access-Control-Request-Method: DELETE
Access-Control-Request-Headers: X-Custom-Header
Host: www.examples.com

與 CORS 相關的字段有：

1. 請求使用的 HTTP 方法 Access-Control-Request-Method ；
2. 請求中包含的自定義頭字段 Access-Control-Request-Headers 。

服務器收到請求時，須要分別對 Origin、Access-Control-Request-Method、Access-Control-Request-Headers 進行驗證，驗證經過後，會在返回 HTTP頭信息中添加 ：

Access-Control-Allow-Origin: http://www.examples.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

他們的含義分別是：

1. Access-Control-Allow-Methods: 真實請求容許的方法
2. Access-Control-Allow-Headers: 服務器容許使用的字段
3. Access-Control-Allow-Credentials: 是否容許用戶發送、處理 cookie
4. Access-Control-Max-Age: 預檢請求的有效期，單位爲秒。有效期內，不會重複發送預檢請求

當預檢請求經過後，瀏覽器會發送真實請求到服務器。這就實現了跨源請求。

3、Spring Boot 配置 CORS

一、使用@CrossOrigin 註解實現

#若是想要對某一接口配置 CORS，能夠在方法上添加 @CrossOrigin 註解 ：

@CrossOrigin(origins = {"http://localhost:9000", "null"})
@RequestMapping(value = "/test", method = RequestMethod.GET)
public String greetings() {
    return "{\"project\":\"just a test\"}";
}

#若是想對一系列接口添加 CORS 配置，能夠在類上添加註解，對該類聲明全部接口都有效：

@CrossOrigin(origins = {"http://localhost:9000", "null"})
@RestController
@SpringBootApplication
public class SpringBootCorsTestApplication {
    
}

#若是想添加全局配置，則須要添加一個配置類 ：

@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

另外，還能夠經過添加 Filter 的方式，配置 CORS 規則，並手動指定對哪些接口有效。

@Bean
public FilterRegistrationBean corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);   config.addAllowedOrigin("http://localhost:9000");
    config.addAllowedOrigin("null");
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config); // CORS 配置對全部接口都有效
    FilterRegistrationBean bean = newFilterRegistrationBean(new CorsFilter(source));
    bean.setOrder(0);
    return bean;
}

二、原理剖析

不管是經過哪一種方式配置 CORS，其實都是在構造 CorsConfiguration。 一個 CORS 配置用一個 CorsConfiguration類來表示，它的定義以下：

public class CorsConfiguration {
    private List<String> allowedOrigins;
    private List<String> allowedMethods;
    private List<String> allowedHeaders;
    private List<String> exposedHeaders;
    private Boolean allowCredentials;
    private Long maxAge;
}

Spring 中對 CORS 規則的校驗，都是經過委託給 DefaultCorsProcessor實現的。

DefaultCorsProcessor 處理過程以下：

1. 判斷依據是 Header中是否包含 Origin。若是包含則說明爲 CORS請求，轉到 2；不然，說明不是 CORS 請求，不做任何處理。
2. 判斷 response 的 Header 是否已經包含 Access-Control-Allow-Origin，若是包含，證實已經被處理過了, 轉到 3，不然再也不處理。
3. 判斷是否同源，若是是則轉交給負責該請求的類處理
4. 是否配置了 CORS 規則，若是沒有配置，且是預檢請求，則拒絕該請求，若是沒有配置，且不是預檢請求，則交給負責該請求的類處理。若是配置了，則對該請求進行校驗。

校驗就是根據 CorsConfiguration 這個類的配置進行判斷：

1. 判斷 origin 是否合法
2. 判斷 method 是否合法
3. 判斷 header是否合法
4. 若是所有合法，則在 response header中添加響應的字段，並交給負責該請求的類處理，若是不合法，則拒絕該請求。