Spring MVC 與 CORS

本文來自 Coding 技術博客，轉載請註明來源。

做者： Coding 工程師 Tanhe

1. CORS 簡介

同源策略（ same origin policy ）是瀏覽器安全的基石。在同源策略的限制下，非同源的網站之間不能發送 ajax 請求的。

爲了解決這個問題， w3c 提出了跨源資源共享，即 CORS(Cross-Origin Resource Sharing)。

CORS 作到了兩點：

1. 不破壞即有規則
2. 服務器實現了 CORS 接口，就能夠跨源通訊

基於這兩點， CORS 將請求分爲兩類：簡單請求和非簡單請求。

1.1 簡單請求

能夠先看下 CORS 出現前的狀況：跨源時可以經過 script 或者 image 標籤觸發 GET 請求或經過表單發送一條 POST 請求，但這兩種請求 HTTP 頭信息中都不能包含任何自定義字段。

簡單請求對應該規則，所以對簡單請求的定義爲：

請求方法是 HEAD、GET 或 POST 且 HTTP 頭信息不超過如下幾個字段：Accept、Accept-Language、Content-Language、Last-Event-ID、Content-Type（只限於 application/x-www-form-urlencoded、multipart/form-data、text/plain）。

好比有一個簡單請求：

GET /test HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate, sdch, br Origin: http://www.examples.com Host: www.examples.com 

對於這樣的簡單請求， CORS 的策略是請求時，在頭信息中添加一個 Origin 字段，服務器收到請求後，根據該字段判斷是否容許該請求。

1. 若是容許，則在 HTTP 頭信息中添加 Access-Control-Allow-Origin 字段，並返回正確的結果
2. 若是不容許，則不在頭信息中添加 Access-Control-Allow-Origin 字段。

瀏覽器先於用戶獲得返回結果，根據有無 Access-Control-Allow-Origin 字段來決定是否攔截該返回結果。

對於 CORS 出現前的一些服務， CORS 對他們的影響分兩種狀況：

1. script 或者 image 觸發的 GET 請求不包含 Origin 頭，因此不受到 CORS 的限制，依舊可用。
2. 若是是 ajax 請求， HTTP 頭信息中會包含 Origin 字段，因爲服務器沒有作任何配置，因此返回結果不會包含 Access-Control-Allow-Origin，所以返回結果會被瀏覽器攔截，接口依舊不能夠被 ajax 跨源訪問。

能夠看出， CORS 的出現，沒有對」舊的「服務形成任何影響。

另外，除了提到的 Access-Control-Allow-Origin 還有幾個字段用於描述 CORS 返回結果：

1. Access-Control-Allow-Credentials: 可選，用戶是否能夠發送、處理 cookie 。
2. Access-Control-Expose-Headers ：可選，可讓用戶拿到的字段。有幾個字段不管設置與否均可以拿到的，包括： Cache-Control 、 Content-Language 、 Content-Type 、 Expires 、 Last-Modified 、 Pragma 。

1.2 非簡單請求

除了簡單請求以外的請求，就是非簡單請求。

對於非簡單請求的跨源請求，瀏覽器會在真實請求發出前，增長一次 OPTION 請求，稱爲預檢請求（ preflight request ）。預檢請求將真實請求的信息，包括請求方法、自定義頭字段、源信息添加到 HTTP 頭信息字段中，詢問服務器是否容許這樣的操做。

好比對於 DELETE 請求：

OPTIONS /test HTTP/1.1 Origin: http://www.examples.com Access-Control-Request-Method: DELETE Access-Control-Request-Headers: X-Custom-Header Host: www.examples.com 

與 CORS 相關的字段有：

1. Access-Control-Request-Method: 真實請求使用的 HTTP 方法。
2. Access-Control-Request-Headers: 真實請求中包含的自定義頭字段。

服務器收到請求時，須要分別對 Origin 、 Access-Control-Request-Method 、 Access-Control-Request-Headers 進行驗證，驗證經過後，會在返回 Http 頭信息中添加

Access-Control-Allow-Origin: http://www.examples.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE Access-Control-Allow-Headers: X-Custom-Header Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000 

他們的含義分別是：

1. Access-Control-Allow-Methods: 真實請求容許的方法
2. Access-Control-Allow-Headers: 服務器容許使用的字段
3. Access-Control-Allow-Credentials: 是否容許用戶發送、處理 cookie
4. Access-Control-Max-Age: 預檢請求的有效期，單位爲秒。有效期內，不會重複發送預檢請求

當預檢請求經過後，瀏覽器會發送真實請求到服務器。這就實現了跨源請求。

瞭解完 CORS ，接下來咱們來搭建簡單的 Spring MVC 服務，並進一步瞭解 Spring MVC 如何配置 CORS 。

2. Spring MVC 環境搭建

打開 http://start.spring.io/，添加 Web Dependency ，而後選擇 Generate Project ，下載 zip 文件，就獲得了一個 spring boot demo 。

解壓 zip 文件，雙擊 pom.xml 打開或用 IDEA 、 Eclipse 將項目按照 maven 導入。

根據 Group 、 Artifact 、 Dependencies 填寫的不一樣，項目目錄結構可能有些許差異，個人項目結構以下：

├── src
│   ├── main/java
│   |        └── net/xiayule/spring/cors
│   |            └── SpringBootCorsTestApplication.java
|   └── resources
|       ├── static
|       ├── templates
|       └── application.properties | └── pom.xml 

咱們須要關心的只有 SpringBootCorsTestApplication.java 。在 SpringBootCorsTestApplication.java 添加如下代碼：

@RestController @SpringBootApplication public class SpringBootCorsTestApplication { @RequestMapping(value = "/test") public String greetings() { return "{\"project\":\"just a test\"}"; } public static void main(String[] args) { SpringApplication.run(SpringBootCorsTestApplication.class, args); } } 

@RequestMapping(value = "/test") 的含義是該方法接受來自 /test 的請求，而且提供了對 HTTP 的 GET 、 POST 、 DELETE 等方法的支持。

運行項目的方法爲，在項目根目錄執行 mvn spring-boot:run 啓動應用，打開瀏覽器訪問 http://localhost:8080 便可看到效果：

後端服務搭建好了，接着實現前端。爲了簡單，直接建立一個 test.html 文件，添加如下內容：

<!DOCTYPE html> <html> <head> <title>Hello CORS</title> <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.10.2/jquery.min.js"></script> <script> $(document).ready(function() { $.ajax({ url: "http://localhost:8080/test", method: "POST", contentType: "application/json; charset=utf-8" }).then(function(data, status, jqxhr) { alert(data) }); }); </script> </head> <body> </body> </html> 

使用瀏覽器打開該文件，就會觸發一條向 http://localhost:8080 的請求。能夠經過修改上面代碼的 method ，來觸發不一樣類型的請求。

因爲是直接使用瀏覽器打開，網頁的源爲 null, 當向源 http://localhost:8080 請求時，就變成了跨源請求，所以若是後端不加 CORS 的配置，返回的 HTTP 頭信息中不會包含 Access-Control-Allow-Origin，所以瀏覽器會報出以下錯誤：

3. 配置 CORS

一個應用可能會有多個 CORS 配置，而且能夠設置每一個 CORS 配置針對一個接口或一系列接口或者對全部接口生效。

舉例來講，咱們須要：

1. 讓 /test 接口支持跨源訪問，而 /test/1 或 /api 等其它接口不支持跨源訪問
2. 讓 /test/* 這一類接口支持跨源訪問，而 /api 等其它接口不支持跨源訪問
3. 站點全部的接口都支持跨源訪問

對第一種狀況，若是想要對某一接口配置 CORS ，能夠在方法上添加 CrossOrigin 註解：

@CrossOrigin(origins = {"http://localhost:9000", "null"}) @RequestMapping(value = "/test", method = RequestMethod.GET) public String greetings() { return "{\"project\":\"just a test\"}"; } 

第二種狀況，若是想對一系列接口添加 CORS 配置，能夠在類上添加註解，對該類聲明全部接口都有效：

CrossOrigin(origins = {"http://localhost:9000", "null"}) @RestController @SpringBootApplication public class SpringBootCorsTestApplication { // xxx } 

第三種狀況，添加全局配置，則須要添加一個配置類：

@Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://localhost:9000", "null") .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") .maxAge(3600) .allowCredentials(true); } } 

另外，還能夠經過添加 Filter 的方式，配置 CORS 規則，並手動指定對哪些接口有效。

@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("http://localhost:9000"); config.addAllowedOrigin("null"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); // CORS 配置對全部接口都有效 FilterRegistrationBean bean = newFilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0); return bean; } 

4. 實現剖析

不管是經過哪一種方式配置 CORS ，其實都是在構造 CorsConfiguration 。 一個 CORS 配置用一個 CorsConfiguration 類來表示，它的定義以下：

public class CorsConfiguration { private List<String> allowedOrigins; private List<String> allowedMethods; private List<String> allowedHeaders; private List<String> exposedHeaders; private Boolean allowCredentials; private Long maxAge; } 

Spring MVC 中對 CORS 規則的校驗，都是經過委託給 DefaultCorsProcessor 實現的。

DefaultCorsProcessor 處理過程以下：

1. 判斷依據是 Header 中是否包含 Origin 。若是包含則說明爲 CORS 請求，轉到 2 ；不然，說明不是 CORS 請求，不做任何處理。
2. 判斷 response 的 Header 是否已經包含 Access-Control-Allow-Origin ，若是包含，證實已經被處理過了, 轉到 3 ，不然再也不處理。
3. 判斷是否同源，若是是則轉交給負責該請求的類處理
4. 是否配置了 CORS 規則，若是沒有配置，且是預檢請求，則拒絕該請求，若是沒有配置，且不是預檢請求，則交給負責該請求的類處理。若是配置了，則對該請求進行校驗。

校驗就是根據 CorsConfiguration 這個類的配置進行判斷：

1. 判斷 origin 是否合法
2. 判斷 method 是否合法
3. 判斷 header 是否合法
4. 若是所有合法，則在 response header 中添加響應的字段，並交給負責該請求的類處理，若是不合法，則拒絕該請求。

5. 總結

本文介紹了 CORS 的知識以及如何在 Spring MVC 中配置 CORS 。

源碼下載

6. 參考

https://spring.io/understanding/CORS

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

http://stackoverflow.com/questions/8685678/cors-how-do-preflight-an-httprequest

http://stackoverflow.com/questions/15381105/cors-what-is-the-motivation-behind-introducing-preflight-requests

http://stackoverflow.com/questions/39725955/why-is-there-no-preflight-in-cors-for-post-requests-with-standard-content-type

https://developer.mozilla.org/zh-CN/docs/Web/Security/Same-origin_policy

http://www.ruanyifeng.com/blog/2016/04/cors.html

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

http://www.ruanyifeng.com/blog/2016/04/same-origin-policy.html

https://spring.io/blog/2015/06/08/cors-support-in-spring-framework