跨域问题解决方案及原理
参考 B站 从原理上解答跨域解决方案,不要错过哦,真的挺简单【有代码实战】
参考 学成在线
解决跨域问题
跨域限制是浏览器行为,不是服务器行为。但是服务器可以辅助允许跨域请求。
浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制。如果非同源,共有三种行为受到限制:
- Cookie、LocalStorage 和 IndexDB 无法读取。
- DOM 无法获得。
- AJAX 请求不能发送。(最常见)
- 跨域限制仅仅是浏览器的行为,通过代理服务器,或者其他工具发送请求就能轻松绕过
问题出现时机: 前后端联调
问题描述:
- 我的前端工程的接口是:http://localhost:8601
- 但是 前端中有一个资源,需要在 系统微服务中http://localhost:63110 获取
- 即:http://localhost:8601访问http://localhost:63110/system/dictionary/all被CORS policy阻止
- 这就触发了浏览器自带的一种保护策略即CORS协议,这种协议默认你不能跨域(非同源是指协议、主机、端口号有任意一个不同的都叫跨域)我们这里端口号不同,发生了跨域资源访问。 cross origin resource share 全称是表示跨域资源共享
如果发生了跨域访问(或者说,一定要跨域),需要
- 在跨域的请求请求头添加Origin字段,给服务器说明,这是一个跨域请求
- Origin: http://localhost:8601
- 服务端根据设定的规则,判断是否允许跨域如果允许,则会在响应头中添加 Access-Control-Allow-Origin字段,如
- Access-Control-Allow-Origin:http://localhost:8601
- Access-Control-Allow-Origin:* (允许任何网址的跨域资源共享)
如果客户端发现响应头没有上述允许的标识,就会报错,即使接收到了完整信息,浏览器也会报错
协议执行过程:
浏览器
- 浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。
浏览器判断是跨域请求会在请求头上添加origin,表示这个请求来源哪里 (来自于前端当前页面,一般请求),例如
GET / HTTP/1.1
Origin: http://localhost:8601
Origin 指示了请求来自于哪个站点,只有服务器名,不包含路径信息,浏览器自动添加到http请求 Header 中,无需手动设置。
添加 Origin 的情况
同源请求:POST、OPTIONS、PUT、PATCH 和 DELETE请求都会添加Origin请求头,GET或HEAD请求不会添加Origin请求头。
跨域请求:所有跨域请求(CORS)都会添加Origin请求头。
服务器
- 服务器收到请求会给与响应,响应的header里写明跨域的配置信息,告诉浏览器,它允许哪些域名发来的请求访问,哪些method可以执行。浏览器收到响应后自动判断能不能真正执行请求。
服务器解析程序收到浏览器跨域请求后,根据自身配置返回对应文件头。若未配置过任何允许跨域
,则文件头里不包含
Access-Control-Allow-origin字段,若配置过域名
,则返回Access-Control-Allow-origin+ 对应配置规则里的域名的方式。
- 如果允许则在响应头中说明允许该来源的跨域请求,如下
Access-Control-Allow-Origin:http://localhost:8601
- 如果允许所有域名来源的跨域请求,则响应如下
Access-Control-Allow-Origin:*
一个支持CORS的web服务器,有如下的判定字段,他们会在响应的header中写明
- Access-Control-Allow-Origin:允许跨域的Origin列表 // 刚刚说的那个
- Access-Control-Allow-Methods:允许跨域的方法列表
- Access-Control-Allow-Headers:允许跨域的Header列表
- Access-Control-Expose-Headers:允许暴露给JavaScript代码的Header列表Access-Control-Max-Age:最大的浏览器缓存时间,单位为s
其中Access-Control-Allow-Origin(访问控制之允许的源),在响应的http header中必须有的,表示允许访问本服务器的源头Origin(域名),可以是特定的域名列表,用逗号分隔,也可以是通配符 *,表示支持任意域名的访问。
除了限定源头Origin,还会限制请求的方法Method,Header。
如,如果服务器设定Access-Control-Allow-Methods:GET,那么跨域的POST请求无法在这个服务器执行。
再到浏览器:
浏览器根据接受到的http文件头里的Access-Control-Allow-origin字段做匹配,若无该字段,说明不允许跨域;若有该字段,则对字段内容和当前域名做比对,如果同源,则说明可以跨域,浏览器发送该请求;若不同源,则说明该域名不可跨域,不发送请求。
(但是不能仅仅根据服务器返回的文件头里是否包含Access-Control-Allow-origin来判断其是否允许跨域,因为服务器端配置多域名跨域的时候,也会出现不能跨域的域名返回包里没有Access-Control-Allow-origin字段的情况。)
总结
1.页面发送请求
2.浏览器根据同源策略做出判定,如果是同源请求,直接发送出去;如果是跨域请求,在HTTP HEADER加上Origin字段,或是先发送一次预检请求(preflight)。
3.服务器接收请求,根据自身跨域的配置(如允许哪些域名,什么样的Method访问),返回文件头。若未配置过任何允许跨域,则文件头里不包含Access-Control-Allow-origin字段,若配置过域名,则返回Access-Control-Allow-origin+ 对应配置规则里的域名的方式。
浏览器接收到响应,根据响应头里的Access-Control-Allow-origin字段做匹配,如果没有这个字段,说明不匹配;如果有,将字段内容和当前域名做比对。如匹配,则可以发送请求。
解决跨域的方法
前端 (浏览器) JSONP
原理: 相当于规避,跨域策略资源不限制图片标签 script标签等,可以将跨域请求的资源 放在 script标签的 src属性当中
- 通过script标签 的src属性进行跨域请求,如果服务端要响应内容,则先读取请求参数callback值,callback是一个回调函数的名称,服务端读取callback的值后将响应内容通过调用callback函数的方式告诉请求方
服务端:添加响应头
- 服务端在响应头添加
Access-Control-Allow-Origin: *
参考以上博文,我将system查询代码做了如下修改,果然成功了
@GetMapping("/dictionary/all")
public List<Dictionary> queryAll(HttpServletResponse httpServletResponse) {
httpServletResponse.setHeader("Access-Control-Allow-Origin","*");
return dictionaryService.queryAll();
}
服务端:通过nginx代理跨域
如下图:当前访问的页面是http://192.168.101.10:8601 但是它里面异步访问了http://www.baidu.com:8601
如此会被判定为跨域,访问失败(红色箭头)
- 由于服务端之间没有跨域,浏览器通过nginx去访问跨域地址
- 浏览器先访问http://192.168.101.10:8601 nginx提供的地址,进入页面
- 此页面要跨域访问http://192.168.101.11:8601 ,不能直接跨域访问http://www.baidu.com:8601 ,而是访问nginx的一个同源地址,比如:http://192.168.101.11:8601/api ,通过http://192.168.101.11:8601/api 的代理去访问http://www.baidu.com:8601。
- 这样就实现了跨域访问。
- 浏览器到http://192.168.101.11:8601/api 没有跨域
- nginx到http://www.baidu.com:8601 通过服务端通信,没有跨域。
- 简单来说在浏览器端,认为 访问的是同一个域的内容都是http://192.168.101.11:8601 域内的资源,但是,http://192.168.101.11:8601 只是作为一致中介,中转了请求和响应
举例: 添加响应头
在被跨域访问资源的服务器 (xuecheng-plus-system-api)模块下新建配置类GlobalCorsConfig
@Configuration
public class GlobalCorsConfig {
@Bean
public CorsFilter getCorsFilter() {
CorsConfiguration configuration = new CorsConfiguration();
//添加哪些http方法可以跨域,比如:GET,Post,(多个方法中间以逗号分隔),*号表示所有
configuration.addAllowedMethod("*");
//添加允许哪个请求进行跨域,*表示所有,可以具体指定http://localhost:8601 表示只允许http://localhost:8601/跨域
configuration.addAllowedOrigin("*");
//所有头信息全部放行
configuration.addAllowedHeader("*");
//允许跨域发送cookie
configuration.setAllowCredentials(true);
UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", configuration);
return new CorsFilter(urlBasedCorsConfigurationSource);
}
}
此配置类实现了跨域过滤器,在响应头添加
Access-Control-Allow-Origin
重启系统管理服务,前端工程可以正常进入http://localhost:8601 ,查看NetWork选项卡,跨域问题成功解决