介紹
跨站 http 請(qǐng)求(cross-site http request)是指發(fā)起請(qǐng)求的資源所在域不同于該請(qǐng)求所指向資源所在的域的 http 請(qǐng)求。比如說(shuō),域名a(http://domaina.example)的某 web 應(yīng)用程序中通過(guò)標(biāo)簽引入了域名b(http://domainb.foo)站點(diǎn)的某圖片資源(http://domainb.foo/image.jpg),域名a的那 web 應(yīng)用就會(huì)導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 http 請(qǐng)求。在當(dāng)今的 web 開(kāi)發(fā)中,使用跨站 http 請(qǐng)求加載各類資源(包括css、圖片、javascript 腳本以及其它類資源),已經(jīng)成為了一種普遍且流行的方式。
出于安全考慮,瀏覽器會(huì)限制腳本中發(fā)起的跨站請(qǐng)求。比如,使用 xmlhttprequest 對(duì)象發(fā)起 http 請(qǐng)求就必須遵守同源策略(same-origin policy)。 具體而言,web 應(yīng)用程序能且只能使用 xmlhttprequest 對(duì)象向其加載的源域名發(fā)起 http 請(qǐng)求,而不能向任何其它域名發(fā)起請(qǐng)求。為了能開(kāi)發(fā)出更強(qiáng)大、更豐富、更安全的web應(yīng)用程序,開(kāi)發(fā)人員渴望著在不丟失安全的前提下,web 應(yīng)用技術(shù)能越來(lái)越強(qiáng)大、越來(lái)越豐富。比如,可以使用 xmlhttprequest 發(fā)起跨站 http 請(qǐng)求。(這段描述跨域不準(zhǔn)確,跨域并非瀏覽器限制了發(fā)起跨站請(qǐng)求,而是跨站請(qǐng)求可以正常發(fā)起,但是返回結(jié)果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請(qǐng)求是發(fā)送到了后端服務(wù)器無(wú)論是否跨域!注意:有些瀏覽器不允許從https的域跨域訪問(wèn)http,比如chrome和firefox,這些瀏覽器在請(qǐng)求還未發(fā)出的時(shí)候就會(huì)攔截請(qǐng)求,這是一個(gè)特例。)
普通參數(shù)跨域
在response的頭文件添加
|
1
2
3
4
|
httpservletresponse.setheader("access-control-allow-origin","*");httpservletresponse.setheader("access-control-allow-methods","post");httpservletresponse.setheader("access-control-allow-headers","access-control");httpservletresponse.setheader("allow","post"); |
| 參數(shù) | 值 | 描述 |
|---|---|---|
| access-control-allow-origin | * | 授權(quán)的源控制 |
| access-control-allow-credentials | true / false | 是否允許用戶發(fā)送和處理cookie |
| access-control-allow-methods | [,]* | 允許請(qǐng)求的http method,多個(gè)用逗號(hào)分隔 |
| access-control-allow-headers | [,]* | 控制哪些header能發(fā)送真正的請(qǐng)求,多個(gè)用逗號(hào)分隔 |
| access-control-max-age | 秒 | 授權(quán)的時(shí)間,單位為秒。有效期內(nèi),不會(huì)重復(fù)發(fā)送預(yù)檢請(qǐng)求 |
帶headr請(qǐng)求跨域
這樣客戶端需要發(fā)起options請(qǐng)求, 可以說(shuō)是一個(gè)【預(yù)請(qǐng)求】,用于探測(cè)后續(xù)真正需要發(fā)起的跨域 post 請(qǐng)求對(duì)于服務(wù)器來(lái)說(shuō)是否是安全可接受的,因?yàn)榭缬蛱峤粩?shù)據(jù)對(duì)于服務(wù)器來(lái)說(shuō)可能存在很大的安全問(wèn)題。
因?yàn)閟pringmvc模式是關(guān)閉options請(qǐng)求的,所以需要開(kāi)啟
|
1
2
3
4
5
6
7
8
9
|
<servlet> <servlet-name>application</servlet-name> <servlet-class>org.springframework.web.servlet.dispatcherservlet</servlet-class> <init-param> <param-name>dispatchoptionsrequest</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup></servlet> |
開(kāi)啟cors
springmvc從4.2版本開(kāi)始增加了對(duì)cors的支持。在springmvc 中增加cors支持非常簡(jiǎn)單,可以配置全局的規(guī)則,也可以使用@crossorigin注解進(jìn)行細(xì)粒度的配置。
使用@crossorigin注解
先通過(guò)源碼看看該注解支持的屬性
在controller上使用@crossorigin注解
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
// 指定當(dāng)前的accountcontroller中所有的方法可以處理所有域上的請(qǐng)求@crossorigin(origins = {"http://domain1.com", "http://domain2.com"}, maxage = 72000l)@restcontroller@requestmapping("/account")public class accountcontroller { @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
在方法上使用@crossorigin注解
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
@crossorigin(maxage = 3600l)@restcontroller@requestmapping("/account")public class accountcontroller { @crossorigin(origins = {"http://domain1.com", "http://domain2.com"}) @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
cors全局配置
除了細(xì)粒度基于注解的配置,可以定義全局cors的配置。這類似于使用過(guò)濾器,但可以在spring mvc中聲明,并結(jié)合細(xì)粒度@crossorigin配置。默認(rèn)情況下所有的域名和get、head和post方法都是允許的。
基于xml的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<mvc:cors> <mvc:mapping path="/api/**" allowed-origins="http://domain1.com, http://domain2.com" allowed-methods="get, post, put, head, patch, delete, options, trace" allowed-headers="header1, header2, header3" exposed-headers="header1, header2" allow-credentials="false" max-age="72000" /> <mvc:mapping path="/resources/**" allowed-origins="http://domain3.com" /></mvc:cors> |
基于代碼的配置
這個(gè)方法同樣適用于springboot。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
@configurationpublic class webconfig extends webmvcconfigureradapter { @override public void addcorsmappings(corsregistry registry) { registry.addmapping("/api/**") .allowedorigins("http://domain1.com") .allowedorigins("http://domain2.com") .allowedmethods("get", "post", "put", "head", "patch", "delete", "options", "trace"); .allowedheaders("header1", "header2", "header3") .exposedheaders("header1", "header2") .allowcredentials(false) .maxage(72000l); registry.addmapping("/resources/**") .allowedorigins("http://domain3.com"); }} |
基于過(guò)濾器的配置
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
import org.springframework.web.cors.corsconfiguration;import org.springframework.web.cors.urlbasedcorsconfigurationsource;@beanpublic filterregistrationbean corsfilter() { urlbasedcorsconfigurationsource source = new urlbasedcorsconfigurationsource(); corsconfiguration config = new corsconfiguration(); config.addallowedorigin("http://domain1.com"); config.addallowedorigin("http://domain2.com"); config.addallowedheader("*"); config.addallowedmethod("get, post, put, head, patch, delete, options, trace"); config.setallowcredentials(true); config.setmaxage(72000l); // cors 配置對(duì)所有接口都有效 source.registercorsconfiguration("/**", config); filterregistrationbean<corsfilter> bean = new filterregistrationbean<>(new corsfilter(source)); bean.setorder(0); return bean;} |
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。
原文鏈接:https://segmentfault.com/a/1190000017823645
