一、基本概念
CORS全称为Cross-Origin Resource Sharing,中文就叫“跨域资源共享”,这其实不能算是一个安全问题,而是一种现代主流浏览器都默认实现的安全策略。
通常后端开发者为了要能实现自己的服务接口允许被不同的网站访问,需要对自己的后端程序做一些跨域配置,来告诉浏览器,我的接口服务允许被跨域访问。
那什么是域呢?通常来说,不同的多个请求中,如果某些请求它们的协议、域名(IP)、端口都是相同的,那么我们就可以认为它们是属于一个域的,如果这三个内容中的任意一个不同,那么就是属于不同域的。
举个例子,我们访问某个网站http://cors-test.com:80/index.html
,在展示的界面中有个登录按钮,其对应的请求URL是http://cors-test.com:80/index.html/login
,还有一个注册按钮对应的URL是http://cors-test.com:80/index.html/register
,后两个请求很明显是和请求index页面的请求是属于同一个域的,我们称之为同源,所以浏览器理所当然允许用户发起这些请求。
如果我们index页面还有一个验证码验证功能,这个是集成的第三方服务,比如请求验证码时的URL是http://validate.com:80
,很明显这个URL和index页面的请求不是同一个域的,浏览器自身的“同源策略”就会禁止这个请求的发起,然后控制台会报错401。
那么如何解决这个问题呢,其实很简单,只要第三方验证码服务的后端接口配置允许我们跨域访问它就行了。
其实我们在发起http://validate.com:80
请求验证码的时候,会先发起一个预检请求,这是为什么呢?因为浏览器也不能确认validate.com
验证码服务是否允许跨域,允许谁来跨域,所以需要先询问下人家服务方的意思,总不能很霸道地都禁止了吧。
预检请求都是OPTIONS请求,并在headers中附带上如下三个参数:
- Origin,当前index页面的域,从而让验证码服务端可以判断是否应该允许这个域的请求来跨域;
- Access-Control-Request-Method,正式请求将会发起的访问方法;
- Access-Control-Request-Headers,正式请求将会携带的header内容;
验证码服务在收到这个预检请求后,就可以进行跨域的检查,如果不允许对方跨域,这返回给浏览器401的错误,如果允许对方跨域,就返回200的成功状态码,并携带如下headers内容:
- Access-Control-Allow-Origin:允许请求的域,多数情况下,就是预检请求中的 Origin 的值;
- Access-Control-Allow-Credentials:一个布尔值,表示服务器是否允许使用 cookies;
- Access-Control-Expose-Headers:实际请求中可以出现在响应中的 headers 集合;
- Access-Control-Max-Age:预检请求返回的规则可以被缓存的最长时间,超过这个时间,需要再次发起预检请求;
- Access-Control-Allow-Methods:实际请求中可以使用到的方法集合
到了这里,浏览器就知道了,对方验证码服务接口是允许index页面的域进行跨域访问的,所以对于后面的正式请求http://validate.com:80
就会放行,不再报401禁止跨域错误。
二、几种CORS配置
这部分主要讲下作为验证码的服务端,我们应该如何配置,才能允许我们想要的允许的域能够跨域访问我们。
2.1 单API配置方式
@RestController
public class ValidateController {
@GetMapping("/validate")
@CrossOrigin(origins = ["http://cors-test.com:80"])
public String validate() {
return "validate";
}
}
2.2 全局API配置方式
第一种可以通过实现WebMvcConfigurer
的方式:
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/validate")
.allowedMethods("get")
.maxAge(3600)
.allowedOrigins("http://cors-test.com:80");
}
}
这种方式是在拦截器中起效果。
第二种可以通过注入一个CorsFilter
类型的Bean来实现:
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
CorsConfiguration configuration = new CorsConfiguration();
// set和add都是一样的
configuration.addAllowedMethod("get");
configuration.addAllowedOrigin("http://cors-test.com:80");
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource uc = new UrlBasedCorsConfigurationSource();
uc.registerCorsConfiguration("/validate",configuration);
return new CorsFilter(uc);
}
}
这种方式是在过滤器中起效果。
第三种可以通过注入一个类型为FilterRegistrationBean
的Bean来实现:
@Configuration
public class CorsConfig {
@Bean
public FilterRegistrationBean corsFilter() {
CorsConfiguration configuration = new CorsConfiguration();
// set和add都是一样的
configuration.addAllowedMethod("get");
configuration.addAllowedOrigin("http://cors-test.com:80");
configuration.setMaxAge(3600L);
UrlBasedCorsConfigurationSource uc = new UrlBasedCorsConfigurationSource();
uc.registerCorsConfiguration("/validate",configuration);
CorsFilter corsFilter = new CorsFilter(uc);
return new FilterRegistrationBean(corsFilter);
}
}
这种方式和上述第二种是一样的。
网友评论