一次跨域问题的分析
事件起因
一个需求让我开放一个 HTTP 接口给前端,在联调的过程中,前端请求时出现了一个 CORS 错误,也即跨域问题,错误如下 👇
一开始我的想法是,跨域问题,这我熟啊,在学校写代码的时候就经常遇到,这解决起来不是分分钟的吗。
可更改之后我傻眼了,为什么一直不生效?我陷入了沉思。
在继续描述之前,我们先来了解下到底什么是跨域以及常见的解决方案有哪些。
什么是跨域
所谓跨域,全称是 跨源资源共享 (CORS) Cross- Origin Resource Sharing ,是一种基于 HTTP Header 的机制,该机制通过允许服务器标示除了它自己以外的其它 origin(域,协议和端口),这样浏览器可以访问加载这些资源。
举个例子:运行在 https://domain-a.com 的 JavaScript 代码使用 XMLHttpRequest
分别发起两个请求 👇
请求A:https://domain-a.com/query
请求B:https://domain-b.com/query
由于发请求的页面站点为 domain-a.com,所以请求 A 属于同源请求,domain-a.com 的后台服务器是允许请求。但是请求 B 的站点域是 domain-b.com,如果要发请求到 domain-b.com,就属于跨源访问,出于安全性考虑,浏览器限制脚本内发起的跨源 HTTP 请求。如下图所示:
因此,为了解决上述问题,跨源域资源共享( CORS )机制就应运而生了。该机制允许 Web 应用服务器进行跨源访问控制,从而使跨源数据传输得以安全进行。
CORS 工作机制
跨源资源共享标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站通过浏览器有权限访问哪些资源。
而且对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求。
只有在服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。
大致流程如上图所示,CORS 请求失败会产生错误,但是为了安全,在 JavaScript 代码层面是无法获知到底具体是哪里出了问题。你只能查看浏览器的控制台以得知具体是哪里出现了错误。
在新增的这一组 HTTP 首部字段中,最重要的便是 Access-Control-Allow-Origin,其语法如下:
Access-Control-Allow-Origin: <origin> | *
其中,origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。
例如,下面的字段值将允许来自 http://www.domain-a.com 的请求:
Access-Control-Allow-Origin: http://www.domain-a.com
如果服务端指定了具体的域名而非“*”,那么响应首部中的 Vary 字段的值必须包含 Origin。这将告诉客户端:服务器对不同的源站返回不同的内容。
接下来所说的解决方案主要就是围绕这一字段进行的。
Spring 中对于跨域的常见解决方案
本节介绍一下使用 Spring 中对于跨域的常见解决方案,主要分为以下几种。
1.直接设置请求头2.@CrossOrigin 注解3.WebMvcConfigurer 配置4.使用 CorsFilter 拦截器
这一块的知识点网上一搜一大把,这里就不展开说明了。重点回到本次的问题分析。
上述方案使用结束之后仍然失效?
解决这个问题,经历了几个过程。
使用 @CrossOrigin 注解,接口 1、2 请求正常,但该方案不够通用,暂时舍弃。
使用 WebMvcConfigurer 配置的 addCorsMappings 方法配置接口 3 时失败,仍然出现跨域问题。
查找资料发现,这有可能是客户端请求经过的先后顺序问题,当服务端接收到一个请求时,该请求会先经过过滤器,然后进入拦截器中,然后再进入 Mapping 映射中的路径所指向的资源,所以跨域配置在 mapping 上并不起作用,返回的头信息中并没有配置的跨域信息,浏览器就会报跨域异常。
因此才会出现这种情况,当你在项目中使用了该方法配置跨域问题后,再使用自定义的拦截器时,跨域问题的相关配置就会失效,请求依然会报跨域问题的错。
此时我选择了最后一种方案,也即,直接使用 CorsFilter 拦截器。
在配置好拦截器之后,仍然出现跨域问题,此时的我心态崩了。
治标 or 治本
后来,我意外的发现前端在调用接口时的 URL 有问题,并没有按照我给他的规则去拼接 URL,果然,在请求了正确的 URL 之后,跨域问题,随即消失了。
也就是说,整个事件出现的原因是因为请求参数异常。
至此,这个问题其实已经解决了,治标已经完成。
只是,这时我又产生了新的疑问,为什么请求参数异常没有走到业务逻辑处理而是出现了跨域问题 🤔️
让我们情景再现一下 👇
@GetMapping("/error")
public ApiResult<String> errorTest(@RequestParam String id) {
if (StringUtils.isBlank(id)) {
return RestUtil.error(1, "参数异常");
}
return RestUtil.success(id);
}
代码样例如上,请求情况如下 👇
fetch("http://www.a.com/error"); // 出现跨域
fetch("http://www.a.com/error?id=123"); // 正常访问
经师兄提点,猜想是由于系统内部抛了异常被拦截后自动重定向到淘宝错误页,果然,在我直接使用浏览器访问上述 URL 后,果然跳转到了淘宝的错误页。
而系统之所以会报异常,原因出在 @RequestParam
注解上,让我们看一下他的源码
如果不传该参数,甚至进不去业务逻辑的错误校验,从而直接被系统捕获了,接下来就是我们刚才熟知的那一幕了。
所以,其实只要设置成 @RequestParam(required = false)
,或者不使用该注解,即可从根源上解决该问题。
刨根问底一下
其实从问题的解决角度来说,到这里已经可以了,只不过刨根问底一下,为什么请求错误了会跳到淘宝的错误页,而不是显示 tomcat 的错误页呢?
在询问了师兄和查找相关资料后,我发现,是由于 tengine(阿里内部的魔改 Nginx)的 error_page 配置造成的,在 proxy_intercept_errors 配置成功后,使得在发生错误时自动重定向到淘宝错误页,所以即使在业务接口做了跨域处理,前端仍会出现跨域问题,因为这一次跨到了淘宝错误页的域。
nginx 配置目录在 /home/admin/cai/conf
配置文件中并未出现重定向页面,重定向页面的配置在另一个文件中 /opt/taobao/tengine/conf/services.conf
error_page 400 http://err.taobao.com/error1.html;
error_page 403 http://err.taobao.com/error1.html;
error_page 404 http://err.taobao.com/error1.html;
error_page 405 http://err.taobao.com/error1.html;
error_page 408 http://err.taobao.com/error1.html;
error_page 410 http://err.taobao.com/error1.html;
error_page 411 http://err.taobao.com/error1.html;
error_page 412 http://err.taobao.com/error1.html;
error_page 413 http://err.taobao.com/error1.html;
error_page 414 http://err.taobao.com/error1.html;
error_page 415 http://err.taobao.com/error1.html;
error_page 500 http://err.taobao.com/error2.html;
error_page 501 http://err.taobao.com/error2.html;
error_page 502 http://err.taobao.com/error2.html;
error_page 503 http://err.taobao.com/error2.html;
error_page 506 http://err.taobao.com/error2.html;
重新加载配置 /home/admin/cai/bin/nginxctl reload
至此,刨根问底结束。
总结一下解决方案
方案 1:关闭 nginx 的 proxy_intercept_errors 选项
proxy_intercept_errors
指令后面跟on
或off
,分别表示 打开 或 关闭 拦截错误页功能。
方案 2:避免在请求时直接产生错误,在本例中是请求参数缺失的问题
@RequestParam
注解默认是必传的,如果没有会报 400 错误,所以才会重定向到淘宝错误页。
更改为 @RequestParam(required = false)
然后在接下来的业务逻辑中进行校验
@GetMapping("/error")
public ApiResult<String> errorTest(@RequestParam(required = false) String id) {
if (StringUtils.isBlank(id)) {
return RestUtil.error(1, "参数异常");
}
return RestUtil.success(id);
}
实验验证
有了合理的猜想后,我们需要来验证一下,到底是不是上述猜想导致的,因此需要验证一下。
验证:修改 nginx 的 proxy_intercept_errors
配置选项,将拦截关闭
预期效果:不会重定向,且出现原生的 tomcat 错误页面
实验后:
控制台 fetch 时也不会出现跨域错误了
至此,问题解决完成。