Java跨域問題及解決跨域問題的方案(Jsonp、Nginx反向代理、CORS跨域資源共享)

時間 2020-02-10

標籤 java 問題解決方案 jsonp nginx 反向代理 cors 資源共享欄目 Java 简体版

原文原文鏈接

1. 什麼是跨域呢？

指的是跨域名的訪問html

舉例java

2. 爲何會跨域呢？

由於跨域問題是瀏覽器對ajax請求的一種安全限制: 一個頁面發起的ajax請求，只能是當前頁面域名的路徑。ajax

優勢：能夠有效的阻止跨站攻擊。spring

缺點：給開發帶來的不便，由於在實際生產環境中，確定會有不少服務器之間交互，地址和端口都有可能不一樣。json

3.解決跨域問題的方案

經常使用的解決跨域方案有3種:

1. jsonpapi

使用script標籤原理實現。是最先的解決方案。跨域

缺點：瀏覽器

須要服務的支持
只能發起GET請求

2.Nginx反向代理安全

利用Nginx反向代理把跨域變爲不跨域，支持各類求情方式

Nginx做爲做爲程序入口，將請求分發到不一樣的服務

缺點：須要額外配置Nginx，語義不清晰。

如今仍是有很多公司在用。

3.CORS

一個W3C標準，全稱爲「跨域資源共享」(Cross-origin resource sharing)。

規範化的跨域請求解決方案，安全可靠。

它容許瀏覽器向跨域服務器，發出XMLHttpRequest請求，解決了ajax只能同域使用的限制。

CORS須要瀏覽器和服務器都支持，目前，全部的瀏覽器都支持。

優勢：
- 在服務端進行控制是否容許跨域，可自定義規則
- 支持各類請求方式
缺點：
- 會產生額外的請求

瀏覽器會將ajax請求分爲兩種: 簡單請求, 特殊請求

簡單請求

（1) 請求方法是如下三種方法之一：

HEAD

GET

POST

（2）HTTP的頭信息不超出如下幾種字段：

Accept-Language

Content-Language

Last-Event-ID

Content-Type：只限於三個值application/x-www-form-urlencoded、multipart/form-data、text/plain

當瀏覽器發現發現的ajax請求是簡單請求時，會在請求頭中攜帶一個字段：Origin.

Origin中會指出當前請求屬於哪一個域（協議+域名+端口）。服務會根據這個值決定是否容許其跨域。

若是服務器容許跨域，須要在返回的響應頭中攜帶下面信息：

Access-Control-Allow-Origin: http://www.czxy.com
Access-Control-Allow-Credentials: true
Content-Type: text/html; charset=utf-8

Access-Control-Allow-Origin：可接受的域，是一個具體域名或者*，表明任意
Access-Control-Allow-Credentials：是否容許攜帶cookie，默認狀況下，cors不會攜帶cookie，除非這個值是true

注意：

若是跨域請求要想操做cookie，須要知足3個條件：

服務的響應頭中須要攜帶Access-Control-Allow-Credentials而且爲true。
瀏覽器發起ajax須要指定withCredentials 爲true
響應頭中的Access-Control-Allow-Origin必定不能爲*，必須是指定的域名

特殊請求

不符合簡單請求的條件，會被瀏覽器斷定爲特殊請求,，例如請求方式爲PUT。

預檢請求

特殊請求會在正式通訊以前，增長一次HTTP查詢請求，稱爲"預檢"請求（preflight）。

瀏覽器先詢問服務器，當前網頁所在的域名是否在服務器的許可名單之中，以及可使用哪些HTTP動詞和頭信息字段。只有獲得確定答覆，瀏覽器纔會發出正式的XMLHttpRequest請求，不然就報錯。

一個「預檢」請求的樣板：

OPTIONS /cors HTTP/1.1
Origin: http://www.czxy.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.leyou.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

與簡單請求相比，除了Origin之外，多了兩個頭：

Access-Control-Request-Method：接下來會用到的請求方式，好比PUT
Access-Control-Request-Headers：會額外用到的頭信息

預檢請求的響應

服務的收到預檢請求，若是許可跨域，會發出響應：

HTTP/1.1 200 OK
Date: Mon, 01 Dec 2008 01:15:39 GMT
Server: Apache/2.0.61 (Unix)
Access-Control-Allow-Origin: http://www.czxy.com
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Max-Age: 1728000
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Content-Length: 0
Keep-Alive: timeout=2, max=100
Connection: Keep-Alive
Content-Type: text/plain

除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials之外，這裏又額外多出3個頭：

Access-Control-Allow-Methods：容許訪問的方式
Access-Control-Allow-Headers：容許攜帶的頭
Access-Control-Max-Age：本次許可的有效時長，單位是秒，過時以前的ajax請求就無需再次進行預檢了

若是瀏覽器獲得上述響應，則認定爲能夠跨域，後續就跟簡單請求的處理是同樣的了。

Cors的使用:

編寫配置類

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 容許的域,不要寫*，不然cookie就沒法使用了
        config.addAllowedOrigin("http://www.czxy.com");
        //2) 是否發送Cookie信息
        config.setAllowCredentials(true);
        //3) 容許的請求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4）容許的頭信息
        config.addAllowedHeader("*");

        //2.添加映射路徑，咱們攔截一切請求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}