快捷導(dǎo)航

java web服務(wù)器實(shí)現(xiàn)跨域訪問(wèn)

更新時(shí)間：2019年08月22日 14:54:09 作者：poisions

這篇文章主要為大家詳細(xì)介紹了java web服務(wù)器實(shí)現(xiàn)跨域訪問(wèn)，具有一定的參考價(jià)值，感興趣的小伙伴們可以參考一下

一、CORS概述

跨源資源共享標(biāo)準(zhǔn)通過(guò)新增一系列 HTTP 頭，讓服務(wù)器能聲明那些來(lái)源可以通過(guò)瀏覽器訪問(wèn)該服務(wù)器上的各類資源（包括CSS、圖片、JavaScript 腳本以及其它類資源）。另外，對(duì)那些會(huì)對(duì)服務(wù)器數(shù)據(jù)造成破壞性影響的 HTTP 請(qǐng)求方法（特別是 GET 以外的 HTTP 方法，或者搭配某些MIME類型的POST請(qǐng)求），標(biāo)準(zhǔn)強(qiáng)烈要求瀏覽器必須先以 OPTIONS 請(qǐng)求方式發(fā)送一個(gè)預(yù)請(qǐng)求(preflight request)，從而獲知服務(wù)器端對(duì)跨源請(qǐng)求所支持 HTTP 方法。在確認(rèn)服務(wù)器允許該跨源請(qǐng)求的情況下，以實(shí)際的 HTTP 請(qǐng)求方法發(fā)送那個(gè)真正的請(qǐng)求。服務(wù)器端也可以通知客戶端，是不是需要隨同請(qǐng)求一起發(fā)送信用信息（包括 Cookies 和 HTTP 認(rèn)證相關(guān)數(shù)據(jù)）。

二、CORS原理

例如：域名A(http://a.example)的某 Web 應(yīng)用程序中通過(guò)<img>標(biāo)簽引入了域名B(http://b.foo)站點(diǎn)的某圖片資源(http://b.foo/image.jpg)。這就是一個(gè)跨域請(qǐng)求，請(qǐng)求http報(bào)頭包含Origin: http://a.example，如果返回的http報(bào)頭包含響應(yīng)頭 Access-Control-Allow-Origin: http://a.example （或者Access-Control-Allow-Origin: http://a.example），表示域名B接受域名B下的請(qǐng)求，那么這個(gè)圖片就運(yùn)行被加載。否則表示拒絕接受請(qǐng)求。

三、CORS跨域請(qǐng)求控制方法

1.http請(qǐng)求頭

Origin: 普通的HTTP請(qǐng)求也會(huì)帶有，在CORS中專門作為Origin信息供后端比對(duì),表明來(lái)源域。

Access-Control-Request-Method: 接下來(lái)請(qǐng)求的方法，例如PUT, DELETE等等

Access-Control-Request-Headers: 自定義的頭部，所有用setRequestHeader方法設(shè)置的頭部都將會(huì)以逗號(hào)隔開(kāi)的形式包含在這個(gè)頭中

2.http響應(yīng)頭

然后瀏覽器再根據(jù)服務(wù)器的返回值判斷是否發(fā)送非簡(jiǎn)單請(qǐng)求。簡(jiǎn)單請(qǐng)求前面講過(guò)是直接發(fā)送，只是多加一個(gè)origin字段表明跨域請(qǐng)求的來(lái)源。然后服務(wù)器處理完請(qǐng)求之后，會(huì)再返回結(jié)果中加上如下控制字段

Access-Control-Allow-Origin: 允許跨域訪問(wèn)的域，可以是一個(gè)域的列表，也可以是通配符"*"。這里要注意Origin規(guī)則只對(duì)域名有效，并不會(huì)對(duì)子目錄有效。即http://foo.example/subdir/ 是無(wú)效的。但是不同子域名需要分開(kāi)設(shè)置，這里的規(guī)則可以參照同源策略

Access-Control-Allow-Credentials: 是否允許請(qǐng)求帶有驗(yàn)證信息，

Access-Control-Expose-Headers: 允許腳本訪問(wèn)的返回頭，請(qǐng)求成功后，腳本可以在

Access-Control-Max-Age: 緩存此次請(qǐng)求的秒數(shù)。在這個(gè)時(shí)間范圍內(nèi)，所有同類型的請(qǐng)求都將不再發(fā)送預(yù)檢請(qǐng)求而是直接使用此次返回的頭作為判斷依據(jù)，非常有用，大幅優(yōu)化請(qǐng)求次數(shù)

Access-Control-Allow-Methods: 允許使用的請(qǐng)求方法，以逗號(hào)隔開(kāi)

Access-Control-Allow-Headers: 允許自定義的頭部，以逗號(hào)隔開(kāi)，大小寫不敏感

如果程序猿偷懶將Access-Control-Allow-Origin設(shè)置為：Access-Control-Allow-Origin: * 允許任何來(lái)自任意域的跨域請(qǐng)求，那么久存在被 DDoS攻擊的可能。

實(shí)現(xiàn)方式：

1、nginx配置文件配置：

server { 
  location / { 
    if ($request_method = 'OPTIONS') { 
     add_header 'Access-Control-Allow-Origin' '*'; 
     add_header 'Access-Control-Allow-Credentials' 'true'; 
     add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; 
     add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; 
     # add_header 'Access-Control-Max-Age' 3600; 
     add_header 'Content-Type' 'text/plain charset=UTF-8'; 
     add_header 'Content-Length' 0; 
     return 200; 
    } 
}

方法2：直接在tomcat安裝目錄下的lib中添加cors-filter-1.7.jar，java-property-utils-1.9.jar 這2個(gè)jar包，并且在業(yè)務(wù)項(xiàng)目的web.xml 中配置想要應(yīng)的filter配置文件：

<filter>
    <filter-name>CORS</filter-name>
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
    <init-param>
      <param-name>cors.allowOrigin</param-name>
      <param-value>*</param-value>
    </init-param>
    <init-param>
      <param-name>cors.supportedMethods</param-name>
      <param-value>GET,POST,HEAD,PUT,DELETE</param-value>
    </init-param>
    <init-param>
      <param-name>cors.supportedHeaders</param-name>
      <param-value>Accept,Origin,X-Requested-With,Content-Type,Last-Modified</param-value>
    </init-param>
    <init-param>
      <param-name>cors.exposedHeaders</param-name>
      <param-value>Set-Cookie</param-value>
    </init-param>
    <init-param>
      <param-name>cors.supportsCredentials</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>CORS</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

方法3：自己寫的 filter類，自己在在業(yè)務(wù)項(xiàng)目中配置web.xml 中配置想要的xml 文件。

如：java類filter：

public class CorsFilter implements Filter{
 
@Override
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
 
}
 
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
ServletException {
// TODO Auto-generated method stub
HttpServletResponse res = (HttpServletResponse) response;
res.setContentType("text/html;charset=UTF-8");
  res.setHeader("Access-Control-Allow-Origin", "*");
  res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
  res.setHeader("Access-Control-Max-Age", "0");
  res.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
  res.setHeader("Access-Control-Allow-Credentials", "true");
  res.setHeader("XDomainRequestAllowed","1");
  chain.doFilter(request, response);
}
 
@Override
public void destroy() {
// TODO Auto-generated method stub
 
}
 
}

業(yè)務(wù)項(xiàng)目中的web.xml配置如下：

<filter>
 <filter-name>cors</filter-name>
 <filter-class>com.tianlong.common.base.CorsFilter</filter-class>
</filter>
<filter-mapping>
 <filter-name>cors</filter-name>
 <url-pattern>/*</url-pattern>
</filter-mapping>

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: