介紹
跨站 http 請求(cross-site http request)是指發(fā)起請求的資源所在域不同于該請求所指向資源所在的域的 http 請求。比如說,域名a(http://domaina.example)的某 web 應(yīng)用程序中通過標(biāo)簽引入了域名b(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名a的那 web 應(yīng)用就會導(dǎo)致瀏覽器發(fā)起一個跨站 http 請求。在當(dāng)今的 web 開發(fā)中,使用跨站 http 請求加載各類資源(包括css、圖片、javascript 腳本以及其它類資源),已經(jīng)成為了一種普遍且流行的方式。
出于安全考慮,瀏覽器會限制腳本中發(fā)起的跨站請求。比如,使用 xmlhttprequest 對象發(fā)起 http 請求就必須遵守同源策略(same-origin policy)。 具體而言,web 應(yīng)用程序能且只能使用 xmlhttprequest 對象向其加載的源域名發(fā)起 http 請求,而不能向任何其它域名發(fā)起請求。為了能開發(fā)出更強(qiáng)大、更豐富、更安全的web應(yīng)用程序,開發(fā)人員渴望著在不丟失安全的前提下,web 應(yīng)用技術(shù)能越來越強(qiáng)大、越來越豐富。比如,可以使用 xmlhttprequest 發(fā)起跨站 http 請求。(這段描述跨域不準(zhǔn)確,跨域并非瀏覽器限制了發(fā)起跨站請求,而是跨站請求可以正常發(fā)起,但是返回結(jié)果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請求是發(fā)送到了后端服務(wù)器無論是否跨域!注意:有些瀏覽器不允許從https的域跨域訪問http,比如chrome和firefox,這些瀏覽器在請求還未發(fā)出的時候就會攔截請求,這是一個特例。)
普通參數(shù)跨域
在response的頭文件添加
|
1
2
3
4
|
httpservletresponse.setheader("access-control-allow-origin","*");httpservletresponse.setheader("access-control-allow-methods","post");httpservletresponse.setheader("access-control-allow-headers","access-control");httpservletresponse.setheader("allow","post"); |
| 參數(shù) | 值 | 描述 |
|---|---|---|
| access-control-allow-origin | * | 授權(quán)的源控制 |
| access-control-allow-credentials | true / false | 是否允許用戶發(fā)送和處理cookie |
| access-control-allow-methods | [,]* | 允許請求的http method,多個用逗號分隔 |
| access-control-allow-headers | [,]* | 控制哪些header能發(fā)送真正的請求,多個用逗號分隔 |
| access-control-max-age | 秒 | 授權(quán)的時間,單位為秒。有效期內(nèi),不會重復(fù)發(fā)送預(yù)檢請求 |
帶headr請求跨域
這樣客戶端需要發(fā)起options請求, 可以說是一個【預(yù)請求】,用于探測后續(xù)真正需要發(fā)起的跨域 post 請求對于服務(wù)器來說是否是安全可接受的,因為跨域提交數(shù)據(jù)對于服務(wù)器來說可能存在很大的安全問題。
因為springmvc模式是關(guān)閉options請求的,所以需要開啟
|
1
2
3
4
5
6
7
8
9
|
<servlet> <servlet-name>application</servlet-name> <servlet-class>org.springframework.web.servlet.dispatcherservlet</servlet-class> <init-param> <param-name>dispatchoptionsrequest</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup></servlet> |
開啟cors
springmvc從4.2版本開始增加了對cors的支持。在springmvc 中增加cors支持非常簡單,可以配置全局的規(guī)則,也可以使用@crossorigin注解進(jìn)行細(xì)粒度的配置。
使用@crossorigin注解
先通過源碼看看該注解支持的屬性
在controller上使用@crossorigin注解
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
// 指定當(dāng)前的accountcontroller中所有的方法可以處理所有域上的請求@crossorigin(origins = {"http://domain1.com", "http://domain2.com"}, maxage = 72000l)@restcontroller@requestmapping("/account")public class accountcontroller { @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
在方法上使用@crossorigin注解
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
@crossorigin(maxage = 3600l)@restcontroller@requestmapping("/account")public class accountcontroller { @crossorigin(origins = {"http://domain1.com", "http://domain2.com"}) @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
cors全局配置
除了細(xì)粒度基于注解的配置,可以定義全局cors的配置。這類似于使用過濾器,但可以在spring mvc中聲明,并結(jié)合細(xì)粒度@crossorigin配置。默認(rèn)情況下所有的域名和get、head和post方法都是允許的。
基于xml的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<mvc:cors> <mvc:mapping path="/api/**" allowed-origins="http://domain1.com, http://domain2.com" allowed-methods="get, post, put, head, patch, delete, options, trace" allowed-headers="header1, header2, header3" exposed-headers="header1, header2" allow-credentials="false" max-age="72000" /> <mvc:mapping path="/resources/**" allowed-origins="http://domain3.com" /></mvc:cors> |
基于代碼的配置
這個方法同樣適用于springboot。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
@configurationpublic class webconfig extends webmvcconfigureradapter { @override public void addcorsmappings(corsregistry registry) { registry.addmapping("/api/**") .allowedorigins("http://domain1.com") .allowedorigins("http://domain2.com") .allowedmethods("get", "post", "put", "head", "patch", "delete", "options", "trace"); .allowedheaders("header1", "header2", "header3") .exposedheaders("header1", "header2") .allowcredentials(false) .maxage(72000l); registry.addmapping("/resources/**") .allowedorigins("http://domain3.com"); }} |
基于過濾器的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
import org.springframework.web.cors.corsconfiguration;import org.springframework.web.cors.urlbasedcorsconfigurationsource;@beanpublic filterregistrationbean corsfilter() { urlbasedcorsconfigurationsource source = new urlbasedcorsconfigurationsource(); corsconfiguration config = new corsconfiguration(); config.addallowedorigin("http://domain1.com"); config.addallowedorigin("http://domain2.com"); config.addallowedheader("*"); config.addallowedmethod("get, post, put, head, patch, delete, options, trace"); config.setallowcredentials(true); config.setmaxage(72000l); // cors 配置對所有接口都有效 source.registercorsconfiguration("/**", config); filterregistrationbean<corsfilter> bean = new filterregistrationbean<>(new corsfilter(source)); bean.setorder(0); return bean;} |
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。
原文鏈接:https://segmentfault.com/a/1190000017823645
