查看原文
其他

前后端分离项目,如何解决跨域问题

梦想de星空 macrozheng 2020-08-20
来自专辑
mall学习教程(技术要点篇)

跨域资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。

什么是跨域问题

CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题。

跨域问题演示及解决

我们使用mall项目的源代码来演示一下跨域问题。此时前端代码运行在8090端口上,后端代码运行在8080端口上,由于其域名都是localhost,但是前端和后端运行端口不一致,此时前端访问后端接口时,就会产生跨域问题。

点击前端登录按钮

此时发现调用登录接口时出现跨域问题。

覆盖默认的CorsFilter来解决该问题

添加GlobalCorsConfig配置文件来允许跨域访问。

  1. package com.macro.mall.config;


  2. import org.springframework.context.annotation.Bean;

  3. import org.springframework.context.annotation.Configuration;

  4. import org.springframework.web.cors.CorsConfiguration;

  5. import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

  6. import org.springframework.web.filter.CorsFilter;


  7. /**

  8. * 全局跨域配置

  9. * Created by macro on 2019/7/27.

  10. */

  11. @Configuration

  12. public class GlobalCorsConfig {


  13. /**

  14. * 允许跨域调用的过滤器

  15. */

  16. @Bean

  17. public CorsFilter corsFilter() {

  18. CorsConfiguration config = new CorsConfiguration();

  19. //允许所有域名进行跨域调用

  20. config.addAllowedOrigin("*");

  21. //允许跨越发送cookie

  22. config.setAllowCredentials(true);

  23. //放行全部原始头信息

  24. config.addAllowedHeader("*");

  25. //允许所有请求方法跨域调用

  26. config.addAllowedMethod("*");

  27. UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

  28. source.registerCorsConfiguration("/**", config);

  29. return new CorsFilter(source);

  30. }

  31. }

重新运行代码,点击登录按钮

发现需要登录认证的/admin/info接口的OPTIONS请求无法通过认证,那是因为复杂的跨越请求需要先进行一次OPTIONS请求进行预检,我们的应用整合了SpringSecurity,对OPTIONS请求并没有放开登录认证。

设置SpringSecurity允许OPTIONS请求访问

在SecurityConfig类的configure(HttpSecurity httpSecurity)方法中添加如下代码。

  1. .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求

  2. .permitAll()

重新运行代码,点击登录按钮

发现已经可以正常访问。

一次完整的跨域请求

先发起一次OPTIONS请求进行预检

  • 请求头信息:

  1. Access-Control-Request-Headers: content-type

  2. Access-Control-Request-Method: POST

  3. Origin: http://localhost:8090

  4. Referer: http://localhost:8090/

  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36

  • 响应头信息:

  1. Access-Control-Allow-Credentials: true

  2. Access-Control-Allow-Headers: content-type

  3. Access-Control-Allow-Methods: POST

  4. Access-Control-Allow-Origin: http://localhost:8090

  5. Cache-Control: no-cache, no-store, max-age=0, must-revalidate

  6. Content-Length: 0

  7. Date: Sat, 27 Jul 2019 13:40:32 GMT

  8. Expires: 0

  9. Pragma: no-cache

  10. Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers

  11. X-Content-Type-Options: nosniff

  12. X-Frame-Options: DENY

  13. X-XSS-Protection: 1; mode=block

  • 请求成功返回状态码为200

发起真实的跨域请求

  • 请求头信息:

  1. Accept: application/json, text/plain, */*

  2. Content-Type: application/json;charset=UTF-8

  3. Origin: http://localhost:8090

  4. Referer: http://localhost:8090/

  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36

  6. {username: "admin", password: "123456"}

  7. password: "123456"

  8. username: "admin"

  • 响应头信息:

  1. Access-Control-Allow-Credentials: true

  2. Access-Control-Allow-Origin: http://localhost:8090

  3. Cache-Control: no-cache, no-store, max-age=0, must-revalidate

  4. Content-Type: application/json;charset=UTF-8

  5. Date: Sat, 27 Jul 2019 13:40:32 GMT

  6. Expires: 0

  7. Pragma: no-cache

  8. Transfer-Encoding: chunked

  9. Vary: Origin, Access-Control-Request-Method, Access-Control-Request-Headers

  10. X-Content-Type-Options: nosniff

  11. X-Frame-Options: DENY

  12. X-XSS-Protection: 1; mode=block

  • 请求成功返回状态码为200

项目源码地址

https://github.com/macrozheng/mall

推荐阅读



欢迎关注,点个在看

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存