SpringBoot跨域問題八種解決方案!
跨域問題是瀏覽器為了保護(hù)用戶的信息安全,實(shí)施了同源策略(Same-Origin Policy),即只允許頁面請(qǐng)求同源(相同協(xié)議、域名和端口)的資源,當(dāng) JavaScript 發(fā)起的請(qǐng)求跨越了同源策略,即請(qǐng)求的目標(biāo)與當(dāng)前頁面的域名、端口、協(xié)議不一致時(shí),瀏覽器會(huì)阻止請(qǐng)求的發(fā)送或接收。
解決跨域問題方案
跨域問題可以從以下方面解決:
- 應(yīng)用層面解決:例如 Spring Boot 項(xiàng)目中解決跨域問題。
- 反向代理解決:例如 Nginx 中解決跨域問題。
- 網(wǎng)關(guān)中解決:例如 Spring Cloud Gateway 中解決跨域問題。
而這 3 類解決方案,總共包含了 8 種解決方案,一起來看。
1.Spring Boot 中解決跨域
在 Spring Boot 中跨域問題有以下 5 種解決方案:
- 使用 @CrossOrigin 注解實(shí)現(xiàn)跨域【局域類跨域】
- 通過配置文件實(shí)現(xiàn)跨域【全局跨域】
- 通過 CorsFilter 對(duì)象實(shí)現(xiàn)跨域【全局跨域】
- 通過 Response 對(duì)象實(shí)現(xiàn)跨域【局域方法跨域】
- 通過實(shí)現(xiàn) ResponseBodyAdvice 實(shí)現(xiàn)跨域【全局跨域】
接下來詳細(xì)來看。
1.1 通過注解跨域
使用 @CrossOrigin 注解可以輕松的實(shí)現(xiàn)跨域,此注解既可以修飾類,也可以修飾方法。當(dāng)修飾類時(shí),表示此類中的所有接口都可以跨域;當(dāng)修飾方法時(shí),表示此方法可以跨域,它的實(shí)現(xiàn)如下:
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
@RestController
@CrossOrigin(origins = "*")
public class TestController {
@RequestMapping("/test")
public HashMap<String, Object> test() {
return new HashMap<String, Object>() {{
put("state", 200);
put("data", "success");
put("msg", "");
}};
}
}以上代碼的執(zhí)行結(jié)果如下圖所示:
圖片
從上圖中可以看出,前端項(xiàng)目訪問另一個(gè)后端項(xiàng)目成功了,也就說明它解決了跨域問題。
優(yōu)缺點(diǎn)分析
此方式雖然雖然實(shí)現(xiàn)(跨域)比較簡單,但細(xì)心的朋友也能發(fā)現(xiàn),使用此方式只能實(shí)現(xiàn)局部跨域,當(dāng)一個(gè)項(xiàng)目中存在多個(gè)類的話,使用此方式就會(huì)比較麻煩(需要給所有類上都添加此注解)。
1.2 通過配置文件跨域
通過設(shè)置配置文件的方式就可以實(shí)現(xiàn)全局跨域了,它的實(shí)現(xiàn)步驟如下:
- 創(chuàng)建一個(gè)新配置文件。
- 添加 @Configuration 注解,實(shí)現(xiàn) WebMvcConfigurer 接口。
- 重寫 addCorsMappings 方法,設(shè)置允許跨域的代碼。
具體實(shí)現(xiàn)代碼如下:
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration // 一定不要忽略此注解
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**") // 所有接口
.allowCredentials(true) // 是否發(fā)送 Cookie
.allowedOriginPatterns("*") // 支持域
.allowedMethods(new String[]{"GET", "POST", "PUT", "DELETE"}) // 支持方法
.allowedHeaders("*")
.exposedHeaders("*");
}
}1.3 通過 CorsFilter 跨域
此實(shí)現(xiàn)方式和上一種實(shí)現(xiàn)方式類似,它也可以實(shí)現(xiàn)全局跨域,它的具體實(shí)現(xiàn)代碼如下:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration // 一定不能忽略此注解
public class MyCorsFilter {
@Bean
public CorsFilter corsFilter() {
// 1.創(chuàng)建 CORS 配置對(duì)象
CorsConfiguration config = new CorsConfiguration();
// 支持域
config.addAllowedOriginPattern("*");
// 是否發(fā)送 Cookie
config.setAllowCredentials(true);
// 支持請(qǐng)求方式
config.addAllowedMethod("*");
// 允許的原始請(qǐng)求頭部信息
config.addAllowedHeader("*");
// 暴露的頭部信息
config.addExposedHeader("*");
// 2.添加地址映射
UrlBasedCorsConfigurationSource corsConfigurationSource = new UrlBasedCorsConfigurationSource();
corsConfigurationSource.registerCorsConfiguration("/**", config);
// 3.返回 CorsFilter 對(duì)象
return new CorsFilter(corsConfigurationSource);
}
}1.4 通過 Response 跨域
此方式是解決跨域問題最原始的方式,但它可以支持任意的 Spring Boot 版本(早期的 Spring Boot 版本也是支持的)。但此方式也是局部跨域,它應(yīng)用的范圍最小,設(shè)置的是方法級(jí)別的跨域,它的具體實(shí)現(xiàn)代碼如下:
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.servlet.http.HttpServletResponse;
import java.util.HashMap;
@RestController
public class TestController {
@RequestMapping("/test")
public HashMap<String, Object> test(HttpServletResponse response) {
// 設(shè)置跨域
response.setHeader("Access-Control-Allow-Origin", "*");
return new HashMap<String, Object>() {{
put("state", 200);
put("data", "success");
put("msg", "");
}};
}
}1.5 通過 ResponseBodyAdvice 跨域
通過重寫 ResponseBodyAdvice 接口中的 beforeBodyWrite(返回之前重寫)方法,我們可以對(duì)所有的接口進(jìn)行跨域設(shè)置,它的具體實(shí)現(xiàn)代碼如下:
import org.springframework.core.MethodParameter;
import org.springframework.http.MediaType;
import org.springframework.http.server.ServerHttpRequest;
import org.springframework.http.server.ServerHttpResponse;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.servlet.mvc.method.annotation.ResponseBodyAdvice;
@ControllerAdvice
public class ResponseAdvice implements ResponseBodyAdvice {
/**
* 內(nèi)容是否需要重寫(通過此方法可以選擇性部分控制器和方法進(jìn)行重寫)
* 返回 true 表示重寫
*/
@Override
public boolean supports(MethodParameter returnType, Class converterType) {
return true;
}
/**
* 方法返回之前調(diào)用此方法
*/
@Override
public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
Class selectedConverterType, ServerHttpRequest request,
ServerHttpResponse response) {
// 設(shè)置跨域
response.getHeaders().set("Access-Control-Allow-Origin", "*");
return body;
}
}此實(shí)現(xiàn)方式也是全局跨域,它對(duì)整個(gè)項(xiàng)目中的所有接口有效。
2.Nginx 中解決跨域
在 Nginx 服務(wù)器的配置文件中添加以下代碼:
server {
listen 80;
server_name your_domain.com;
location /api {
# 允許跨域請(qǐng)求的域名,* 表示允許所有域名訪問
add_header 'Access-Control-Allow-Origin' '*';
# 允許跨域請(qǐng)求的方法
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
# 允許跨域請(qǐng)求的自定義 Header
add_header 'Access-Control-Allow-Headers' 'Origin, X-Requested-With, Content-Type, Accept';
# 允許跨域請(qǐng)求的 Credential
add_header 'Access-Control-Allow-Credentials' 'true';
# 預(yù)檢請(qǐng)求的存活時(shí)間,即 Options 請(qǐng)求的響應(yīng)緩存時(shí)間
add_header 'Access-Control-Max-Age' 3600;
# 處理預(yù)檢請(qǐng)求
if ($request_method = 'OPTIONS') {
return 204;
}
}
# 其他配置...
}上述示例中,location /api 代表配置針對(duì) /api 路徑的請(qǐng)求進(jìn)行跨域設(shè)置。可以根據(jù)具體需要修改 location 的值和其他相關(guān)參數(shù)。配置中的 add_header 指令用于設(shè)置響應(yīng)頭部,常用的響應(yīng)頭部包括以下這些:
- Access-Control-Allow-Origin:用于指定允許跨域的域名,可以設(shè)置為 * 表示允許所有域名訪問。
- Access-Control-Allow-Methods:用于指定允許的跨域請(qǐng)求的方法,例如 GET、POST、OPTIONS 等。
- Access-Control-Allow-Headers:用于指定允許的跨域請(qǐng)求的自定義 Header。
- Access-Control-Allow-Credentials:用于指定是否允許跨域請(qǐng)求發(fā)送和接收 Cookie。
- Access-Control-Max-Age:用于設(shè)置預(yù)檢請(qǐng)求(OPTIONS 請(qǐng)求)的響應(yīng)緩存時(shí)間。
3.網(wǎng)關(guān)中解決跨域
Spring Cloud Gateway 中解決跨域問題可以通過以下兩種方式實(shí)現(xiàn):
- 通過在配置文件中配置跨域?qū)崿F(xiàn)。
- 通過在框架中添加 CorsWebFilter 來解決跨域問題。
3.1 配置文件中設(shè)置跨域
在 application.yml 或 application.properties 中添加以下配置:
spring:
cloud:
gateway:
globalcors:
corsConfigurations:
'[/**]': # 這里的'/**'表示對(duì)所有路由生效,可以根據(jù)需要調(diào)整為特定路徑
allowedOrigins: "*" # 允許所有的源地址,也可以指定具體的域名
allowedMethods: # 允許的 HTTP 方法類型
- GET
- POST
- PUT
- DELETE
- OPTIONS
allowedHeaders: "*" # 允許所有的請(qǐng)求頭,也可以指定具體的請(qǐng)求頭
allowCredentials: true # 是否允許攜帶憑證(cookies)
maxAge: 3600 # CORS預(yù)檢請(qǐng)求的有效期(秒)其中:
- allowedOrigins: 設(shè)置允許訪問的來源域名列表,"*" 表示允許任何源。
- allowedMethods: 指定哪些HTTP方法可以被用于跨域請(qǐng)求。
- allowedHeaders: 客戶端發(fā)送的請(qǐng)求頭列表,"*" 表示允許任何請(qǐng)求頭。
- allowCredentials: 當(dāng)設(shè)為 true 時(shí),允許瀏覽器在發(fā)起跨域請(qǐng)求時(shí)攜帶認(rèn)證信息(例如 cookies)。
- maxAge: 預(yù)檢請(qǐng)求的結(jié)果可以在客戶端緩存的最大時(shí)間。
通過這樣的配置,Spring Cloud Gateway 網(wǎng)關(guān)將自動(dòng)處理所有經(jīng)過它的跨域請(qǐng)求,并添加相應(yīng)的響應(yīng)頭,從而允許前端應(yīng)用執(zhí)行跨域請(qǐng)求。
3.2 添加 CorsWebFilter 來解決跨域問題
在 Spring-Framework 從 5.3 版本之前,使用以下代碼可以讓 Spring Cloud Gateway 網(wǎng)關(guān)允許跨域:
@Configuration
public class GlobalCorsConfig {
@Bean
public CorsWebFilter corsWebFilter() {
CorsConfiguration config = new CorsConfiguration();
// 這里僅為了說明問題,配置為放行所有域名,生產(chǎn)環(huán)境請(qǐng)對(duì)此進(jìn)行修改
config.addAllowedOrigin("*");
// 放行的請(qǐng)求頭
config.addAllowedHeader("*");
// 放行的請(qǐng)求類型,有 GET, POST, PUT, DELETE, OPTIONS
config.addAllowedMethod("*");
// 暴露頭部信息
config.addExposedHeader("*");
// 是否允許發(fā)送 Cookie
config.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
return new CorsWebFilter(source);
}
}而 Spring-Framework 5.3 版本之后,關(guān)于 CORS 跨域配置類 CorsConfiguration 中將 addAllowedOrigin 方法名修改為 addAllowedOriginPattern,因此配置了變成了以下這樣:
@Configuration
public class GlobalCorsConfig {
@Bean
public CorsWebFilter corsWebFilter() {
CorsConfiguration config = new CorsConfiguration();
// 這里僅為了說明問題,配置為放行所有域名,生產(chǎn)環(huán)境請(qǐng)對(duì)此進(jìn)行修改
config.addAllowedOriginPattern("*");
// 放行的請(qǐng)求頭
config.addAllowedHeader("*");
// 放行的請(qǐng)求類型,有 GET, POST, PUT, DELETE, OPTIONS
config.addAllowedMethod("*");
// 暴露頭部信息
config.addExposedHeader("*");
// 是否允許發(fā)送 Cookie
config.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
return new CorsWebFilter(source);
}
}小結(jié)
跨域問題可以在網(wǎng)關(guān)層、反向代理層或應(yīng)用層來解決,而它們的使用優(yōu)先級(jí)是:網(wǎng)關(guān)層 > 代理層 > 應(yīng)用層。因?yàn)樵娇壳案采w范圍就越大,解決跨域問題就越容易。
