跨域(CORS)問題的解決方案分享

更新時間：2023年02月13日 08:42:12 作者：Perceus

跨域是指跨域名的訪問，如果域名和端口都相同，但是請求路徑不同，不屬于跨域?？缬虿灰欢〞锌缬騿栴}。因為跨域問題是瀏覽器對于ajax請求的一種安全限制：一個頁面發(fā)起的ajax請求，只能是于當前頁同域名的路徑，這能有效的阻止跨站攻擊。

前后端分離項目，如何解決跨域問題

跨域資源共享（CORS）是前后端分離項目很常見的問題，本文主要介紹當SpringBoot應用整合SpringSecurity以后如何解決該問題。

什么是跨域問題

CORS全稱Cross-Origin Resource Sharing，意為跨域資源共享。當一個資源去訪問另一個不同域名或者同域名不同端口的資源時，就會發(fā)出跨域請求。如果此時另一個資源不允許其進行跨域資源訪問，那么訪問的那個資源就會遇到跨域問題。

跨域問題演示及解決

我們使用mall項目的源代碼來演示一下跨域問題。此時前端代碼運行在8090端口上，后端代碼運行在8080端口上，由于其域名都是localhost，但是前端和后端運行端口不一致，此時前端訪問后端接口時，就會產(chǎn)生跨域問題。

點擊前端登錄按鈕

此時發(fā)現(xiàn)調(diào)用登錄接口時出現(xiàn)跨域問題。

覆蓋默認的CorsFilter來解決該問題

添加GlobalCorsConfig配置文件來允許跨域訪問。

package com.macro.mall.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * 全局跨域配置
 * Created by macro on 2019/7/27.
 */
@Configuration
public class GlobalCorsConfig {

    /**
     * 允許跨域調(diào)用的過濾器
     */
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        //允許所有域名進行跨域調(diào)用
        config.addAllowedOrigin("*");
        //允許跨越發(fā)送cookie
        config.setAllowCredentials(true);
        //放行全部原始頭信息
        config.addAllowedHeader("*");
        //允許所有請求方法跨域調(diào)用
        config.addAllowedMethod("*");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

或者使用這個配置類

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH")
                .maxAge(3600);
    }

}

重新運行代碼，點擊登錄按鈕

發(fā)現(xiàn)需要登錄認證的/admin/info接口的OPTIONS請求無法通過認證，那是因為復雜的跨越請求需要先進行一次OPTIONS請求進行預檢，我們的應用整合了SpringSecurity，對OPTIONS請求并沒有放開登錄認證。

設置SpringSecurity允許OPTIONS請求訪問

在SecurityConfig類的configure(HttpSecurity httpSecurity)方法中添加如下代碼。

.antMatchers(HttpMethod.OPTIONS)//跨域請求會先進行一次options請求
.permitAll()

重新運行代碼，點擊登錄按鈕

發(fā)現(xiàn)已經(jīng)可以正常訪問。

一次完整的跨域請求

先發(fā)起一次OPTIONS請求進行預檢

請求頭信息：

Access-Control-Request-Headers: content-type
Access-Control-Request-Method: POST
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36

響應頭信息：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Methods: POST
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Length: 0
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

請求成功返回狀態(tài)碼為200

發(fā)起真實的跨域請求

請求頭信息：

Accept: application/json, text/plain
Content-Type: application/json;charset=UTF-8
Origin: http://localhost:8090
Referer: http://localhost:8090/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
{username: "admin", password: "123456"}
password: "123456"
username: "admin"

響應頭信息：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: http://localhost:8090
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Content-Type: application/json;charset=UTF-8
Date: Sat, 27 Jul 2019 13:40:32 GMT
Expires: 0
Pragma: no-cache
Transfer-Encoding: chunked
Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block