翼度科技»论坛 云主机 服务器技术 查看内容

跨域(CORS)问题的解决方案分享

8

主题

8

帖子

24

积分

新手上路

Rank: 1

积分
24
前后端分离项目,如何解决跨域问题
  1. 跨域资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。
复制代码
什么是跨域问题

CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。

跨域问题演示及解决
  1. 我们使用mall项目的源代码来演示一下跨域问题。此时前端代码运行在8090端口上,后端代码运行在8080端口上,由于其域名都是localhost,但是前端和后端运行端口不一致,此时前端访问后端接口时,就会产生跨域问题。
复制代码
点击前端登录按钮
  1. 此时发现调用登录接口时出现跨域问题。
复制代码


覆盖默认的CorsFilter来解决该问题
  1. 添加GlobalCorsConfig配置文件来允许跨域访问。
复制代码
  1. package com.macro.mall.config;

  2. import org.springframework.context.annotation.Bean;
  3. import org.springframework.context.annotation.Configuration;
  4. import org.springframework.web.cors.CorsConfiguration;
  5. import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
  6. import org.springframework.web.filter.CorsFilter;

  7. /**
  8. * 全局跨域配置
  9. * Created by macro on 2019/7/27.
  10. */
  11. @Configuration
  12. public class GlobalCorsConfig {

  13.     /**
  14.      * 允许跨域调用的过滤器
  15.      */
  16.     @Bean
  17.     public CorsFilter corsFilter() {
  18.         CorsConfiguration config = new CorsConfiguration();
  19.         //允许所有域名进行跨域调用
  20.         config.addAllowedOrigin("*");
  21.         //允许跨越发送cookie
  22.         config.setAllowCredentials(true);
  23.         //放行全部原始头信息
  24.         config.addAllowedHeader("*");
  25.         //允许所有请求方法跨域调用
  26.         config.addAllowedMethod("*");
  27.         UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
  28.         source.registerCorsConfiguration("/**", config);
  29.         return new CorsFilter(source);
  30.     }
  31. }
复制代码
  1. 或者使用这个配置类
复制代码
  1. import org.springframework.context.annotation.Configuration;
  2. import org.springframework.web.servlet.config.annotation.CorsRegistry;
  3. import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

  4. @Configuration
  5. public class CorsConfig implements WebMvcConfigurer {

  6.     @Override
  7.     public void addCorsMappings(CorsRegistry registry) {
  8.         registry.addMapping("/**")
  9.                 .allowedOriginPatterns("*")
  10.                 .allowCredentials(true)
  11.                 .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH")
  12.                 .maxAge(3600);
  13.     }

  14. }
复制代码

重新运行代码,点击登录按钮
  1. 发现需要登录认证的/admin/info接口的OPTIONS请求无法通过认证,那是因为复杂的跨越请求需要先进行一次OPTIONS请求进行预检,我们的应用整合了SpringSecurity,对OPTIONS请求并没有放开登录认证。
复制代码


设置SpringSecurity允许OPTIONS请求访问
  1. 在SecurityConfig类的configure(HttpSecurity httpSecurity)方法中添加如下代码。
复制代码
  1. .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
  2. .permitAll()
复制代码

重新运行代码,点击登录按钮
  1. 发现已经可以正常访问。
复制代码


一次完整的跨域请求


先发起一次OPTIONS请求进行预检


  • 请求头信息:
  1. Access-Control-Request-Headers: content-type
  2. Access-Control-Request-Method: POST
  3. Origin: http://localhost:8090
  4. Referer: http://localhost:8090/
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
复制代码

  • 响应头信息:
  1. Access-Control-Allow-Credentials: true
  2. Access-Control-Allow-Headers: content-type
  3. Access-Control-Allow-Methods: POST
  4. Access-Control-Allow-Origin: http://localhost:8090
  5. Cache-Control: no-cache, no-store, max-age=0, must-revalidate
  6. Content-Length: 0
  7. Date: Sat, 27 Jul 2019 13:40:32 GMT
  8. Expires: 0
  9. Pragma: no-cache
  10. Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
  11. X-Content-Type-Options: nosniff
  12. X-Frame-Options: DENY
  13. X-XSS-Protection: 1; mode=block
复制代码

  • 请求成功返回状态码为200

发起真实的跨域请求


  • 请求头信息:
  1. Accept: application/json, text/plain
  2. Content-Type: application/json;charset=UTF-8
  3. Origin: http://localhost:8090
  4. Referer: http://localhost:8090/
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36
  6. {username: "admin", password: "123456"}
  7. password: "123456"
  8. username: "admin"
复制代码

  • 响应头信息:
  1. Access-Control-Allow-Credentials: true
  2. Access-Control-Allow-Origin: http://localhost:8090
  3. Cache-Control: no-cache, no-store, max-age=0, must-revalidate
  4. Content-Type: application/json;charset=UTF-8
  5. Date: Sat, 27 Jul 2019 13:40:32 GMT
  6. Expires: 0
  7. Pragma: no-cache
  8. Transfer-Encoding: chunked
  9. Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers
  10. X-Content-Type-Options: nosniff
  11. X-Frame-Options: DENY
  12. X-XSS-Protection: 1; mode=block
复制代码

  • 请求成功返回状态码为200
到此这篇关于跨域(CORS)问题的解决方案分享的文章就介绍到这了,更多相关解决跨域(CORS)问题内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

来源:https://www.jb51.net/article/275058.htm
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x

举报 回复 使用道具