1.什麼是跨域
跨域是指跨域名的訪問,以下情況都屬於跨域:
跨域現象 實例 域名不相同 www.baidu.com與www.taobao 一級域名相同,但是端口不相同 www.baidu.com:8080 與 www.baidu.com:9090 二級域名不相同 news.baidu.com 與baike.baidu.com
注:如果域名與端口均相同,只是請求的路徑不相同,則不屬於跨域,例如:
www.baidu.com/item www.baidu.com/guonei
2.為什麼又跨域問題
tpis:跨域不一定會有跨域問題。
因為跨域問題是瀏覽器對於ajax請求的一種安全限制:
一個頁面發起的ajax請求,只能是於當前頁同域名的路徑,這能有效的阻止跨站攻擊。
若沒有該限制,那麼任意一個網站中的js腳本都可以對其他任意網站進行惡意的攻擊,因為cookie是瀏覽器端保存的重要數據,這樣子就可以通過cookie在來跨域訪問同一瀏覽器打開的網站,存在嚴重安全隱患;
因此:跨域問題 是針對ajax的一種限制。
但是這卻給我們的開發帶來了不便,而且在實際生成環境中,肯定會有很多臺服務器之間交互,地址和端口都可能不同
3.解決跨域問題的方案
目前主流的解決跨域問題的方案有三種:
- jsonp
早期的跨域主流解決方案,其原理通過script標籤進行跨域實現 - 限制:* 需要服務端的支持 只能發起GET請求,侷限性大
- nginx反向代理
- 思想:* 利用nginx方向代理的功能,將原本跨域的請求代理為不跨域的 ,支持各種請求方式
- 缺點:* 需要在nginx服務器上進行額外的配置,同時需要維護大量的域名地址,如意混淆
- CORS
目前主流的跨域解決方案,該方案安全可靠,目前應用廣泛。
優勢: 在服務端進行控制來確定是否允許跨域,規則可以自定義 支持各種請求方式 (七大請求方式均支持) 缺點:* 會產生額外的請求
4.解決方案明細
4.1 CORS跨域解決方案
4.1.1 CORS簡介
CORS是一個W3C標準,全稱是"跨域資源共享"(Cross-origin resource sharing)。
它允許瀏覽器向跨源服務器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。
CORS需要瀏覽器和服務器同時支持。目前,所有瀏覽器都支持該功能,IE瀏覽器不能低於IE10。
- 瀏覽器端: 目前,所有瀏覽器都支持該功能(IE10以下不行)。整個CORS通信過程,都是瀏覽器自動完成,不需要用戶參與。
- 服務端: CORS通信與AJAX沒有任何差別,因此你不需要改變以前的業務邏輯。只不過,瀏覽器會在請求中攜帶一些頭信息,我們需要以此判斷是否運行其跨域,然後在響應頭中加入一些信息即可。 這一般通過過濾器即可實現
4.1.2 原理
當前瀏覽器會將我們的Ajax請求進行分類,根據其處理方案的差異分為:簡單請求、特殊請求
簡單請求
需要同時滿足以下兩大條件,才屬於簡單請求:
1)請求方式必須是以下三種方式中的一種:
- HEAD
- GET
- POST
2)HTTP請求的頭信息不能超出以下幾種字段:
- Accept
- Accept-Language
- Content-Language
- Last-Event-ID
- Conten-Type:只能是 application/x-www-form-urlencoded、multipart/form-data、text/plain三個中的任意一個
當瀏覽器發現發送的ajax請求是簡單請求時,會在請求頭中攜帶一個字段:Origin.
Origin中會指出當前請求屬於哪個域(協議+域名+端口)。服務會根據這個值決定是否允許其跨域。
如果服務器允許跨域,需要在返回的響應頭中攜帶下面信息:
<code>Access-Control-Allow-Origin: http://manage.leyou.com Access-Control-Allow-Credentials: true Content-Type: text/html; charset=utf-8/<code>
- Access-Control-Allow-Origin:可接受的域,是一個具體域名或者*,代表任意
- Access-Control-Allow-Credentials:是否允許攜帶cookie,默認情況下,cors不會攜帶cookie,除非這個值是true
注意:
如果跨域請求要想操作cookie,需要滿足3個條件:
- 服務的響應頭中需要攜帶Access-Control-Allow-Credentials並且為true。
- 瀏覽器發起ajax需要指定withCredentials 為true
- 響應頭中的Access-Control-Allow-Origin一定不能為,*必須是指定的域名**
特殊請求
不符合簡單請求的條件,會被瀏覽器判定為特殊請求,,例如請求方式為PUT。
預檢請求
特殊請求會在正式通信之前,增加一次HTTP查詢請求,稱為"預檢"請求(preflight)。
瀏覽器先詢問服務器,當前網頁所在的域名是否在服務器的許可名單之中,以及可以使用哪些HTTP動詞和頭信息字段。只有得到肯定答覆,瀏覽器才會發出正式的XMLHttpRequest請求,否則就報錯。
一個“預檢”請求的樣板:
<code>OPTIONS /cors HTTP/1.1 Origin: http://baike.baidu.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Custom-Header Host: api.leyou.com Accept-Language: en-US Connection: keep-alive User-Agent: Mozilla/5.0.../<code>
與簡單請求相比,除了Origin以外,多了兩個頭:
- Access-Control-Request-Method:接下來會用到的請求方式,比如PUT
- Access-Control-Request-Headers:會額外用到的頭信息
預檢請求的響應
服務的收到預檢請求,如果許可跨域,會發出響應:
<code>HTTP/1.1 200 OK Date: Mon, 01 Dec 2008 01:15:39 GMT Server: Apache/2.0.61 (Unix) Access-Control-Allow-Origin: http://baike.baidu.com Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Max-Age: 1728000 Content-Type: text/html; charset=utf-8 Content-Encoding: gzip Content-Length: 0 Keep-Alive: timeout=2, max=100 Connection: Keep-Alive Content-Type: text/plain/<code>
除了Access-Control-Allow-Origin和Access-Control-Allow-Credentials以外,這裡又額外多出3個頭:
- Access-Control-Allow-Methods:允許訪問的方式
- Access-Control-Allow-Headers:允許攜帶的頭
- Access-Control-Max-Age:本次許可的有效時長,單位是秒,過期之前的ajax請求就無需再次進行預檢了
如果瀏覽器得到上述響應,則認定為可以跨域,後續就跟簡單請求的處理是一樣的了。
4.1.3 代碼實現
在我們代碼實現時,其實非常簡單,只需要明白一點,我們不需要管瀏覽器端,瀏覽器端會自動處理。我們只在乎服務端的處理,針對服務器端我們可以很明確。需要注意:
- 需要對所有的controller層進行處理
- 需要所有的請求都要進行跨域處理
根據這種情況,是典型的AOP思想,我們可以採用攔截器實現該功能;
實際上我們springmvc框架中已經自己實現了CORS的跨域過濾器,我們只需要直接調用處理就好;我們這裡採用javacondif的方式進行配置書寫,需要spring3以上版本支持;也可採用傳統XML形式,這裡不再闡述,具體代碼如下:
<code>import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; @Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { //1.添加CORS配置信息 CorsConfiguration config = new CorsConfiguration(); //1) 允許的域,不要寫*,否則cookie就無法使用了 config.addAllowedOrigin("http://manage.i-code.online"); //2) 是否發送Cookie信息 config.setAllowCredentials(true); //3) 允許的請求方式 config.addAllowedMethod("OPTIONS"); config.addAllowedMethod("HEAD"); config.addAllowedMethod("GET"); config.addAllowedMethod("PUT"); config.addAllowedMethod("POST"); config.addAllowedMethod("DELETE"); config.addAllowedMethod("PATCH"); // 4)允許的頭信息 config.addAllowedHeader("*"); //5)有效時長 config.setMaxAge(3600L); //2.添加映射路徑,我們攔截一切請求 UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource(); configSource.registerCorsConfiguration("/**", config); //3.返回新的CorsFilter. return new CorsFilter(configSource); } } /<code>
本文由AnonyStar 發佈,可轉載但需聲明原文出處。
仰慕「優雅編碼的藝術」 堅信熟能生巧,努力改變人生
歡迎關注微信公賬號 :coder簡碼 獲取更多優質文章
更多文章關注筆者博客 :IT簡碼