Spring Boot三种跨域解决方案与Spring Security跨域解决方案_springsecurity跨域配置

1、什么是跨域

什么是跨域，首先可以参考我之前写的这篇文章：JavaWeb跨域问题及解决方案 ，另外我下面会做补充。

很多人误认为资源跨域时无法请求，实际上，通常情况下请求是可以正常发起的（注意，部分浏览器存在特例），后端也正常进行了处理，只是在返回时被浏览器拦截，导致响应内容不可使用。此外，我们平常所说的跨域实际上都是在讨论浏览器行为。

CORS（Cross-Origin Resource Sharing）的规范中有一组新增的HTTP首部字段，允许服务器声明其提供的资源允许哪些站点跨域使用。通常情况下，跨域请求即便在不被支持的情况下，服务器也会接收并进行处理，在CORS的规范中则避免了这个问题。浏览器首先会发起一个请求方法为OPTIONS 的预检请求，用于确认服务器是否允许跨域，只有在得到许可后才会发出实际请求。此外，预检请求还允许服务器通知浏览器跨域携带身份凭证（如cookie）。

CORS常见首部字段：

• Access-Control-Allow-Origin：具体的站点或*，如果需要浏览器发起请求时携带凭证信息则不允许为*，如果为具体的站点则响应头的Vary字段需要携带Origin属性
• Access-Control-Allow-Methods：仅在预检请求的响应中指定有效，用于表明服务器允许跨域的HTTP方法，多个方法之间用逗号隔开
• Access-Control-Allow-Headers：仅在预检请求的响应中指定有效，用于表明服务器允许携带的首部字段。多个首部字段之间用逗号隔开
• Access-Control-Max-Age：指明本次预检请求的有效期，单位为秒。在有效期内，预检请求不需要再次发起
• Access-Control-Allow-Credentials：为true时，浏览器会在接下来的真实请求中携带用户凭证信息（cookie等），服务器也可以使用Set-Cookie向用户浏览器写入新的cookie

简单请求：

• 定义：不携带自定义请求头信息的GET请求、HEAD请求，以及 Content-Type为application/x-www-form-urlencoded、multipart/form-data或text/plain的POST请求
• 浏览器在发起请求时，会在请求头中自动添加一个 Origin 属性，值为当前页面的 URL 首部。当服务器返回响应时，若存在跨域访问控制属性，则浏览器会通过这些属性判断本次请求是否被允许
• 只需后端在返回的响应头中添加Access-Control-Allow-Origin字段并填入允许跨域访问的站点即可

预检请求：

• 会发送一个 OPTIONS 请求到目标站点，以查明该请求是否安全，防止请求对目标站点的数据造成破坏
• 定义：以 GET、HEAD、POST 以外的方法发起；或者使用POST方法，但请求数据为application/x-www-form-urlencoded、multipart/form-data和text/plain以外的数据类型；再或者，使用了自定义请求头，则都会被当成预检请求类型处理

带凭证的请求：

• 定义：携带了用户cookie等信息的请求
• jquery ajax设置方法：xhrFields : {withCredentials : true}
• 浏览器在实际发出请求时，将同时向服务器发送 cookie，并期待在服务器返回的响应信息中指明 Access-Control-AllowCredentials为true，否则浏览器会拦截，并抛出错误

2、Spring Boot跨域解决方案

下面介绍Spring Boot三种跨域解决方案：

• （配置单个Controller）@CrossOrigin注解：dispatcherServlet中处理，原理是CorsInterceptor
• （全局配置）重写WebMvcConfigurer.addCorsMappings方法：dispatcherServlet中处理，原理是CorsInterceptor
• （推荐）CorsFilter：由filter处理，要早于前两种

Spring MVC的请求顺序一般是：浏览器->filter->DispatcherServlet->interceptor->controller，因此用CorsFilter会更早地去处理跨域，效果也更好。

配置CorsFilter如下代码所示。

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import java.util.Arrays;

@Configuration
public class CrossoriginConfig {
    @Bean
    public FilterRegistrationBean<CorsFilter> corsFilter(){
        FilterRegistrationBean<CorsFilter> registrationBean = new FilterRegistrationBean<>();
        CorsConfiguration corsConfig = new CorsConfiguration();
        // cors配置
        // 后端服务器（http://localhost:8182）为资源提供方，AllowedOrigins可配置哪些网站可以获取我的资源
        corsConfig.setAllowedOrigins(Arrays.asList("http://localhost"));
        //corsConfig.setAllowedOrigins(Arrays.asList("*"));
        // 预检请求的响应中有效
        corsConfig.setAllowedMethods(Arrays.asList("GET","POST"));
        corsConfig.setAllowedHeaders(Arrays.asList("Content-Type"));
        //corsConfig.setMaxAge(Duration.ofHours(1L));
        corsConfig.setAllowCredentials(true);

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfig);
        registrationBean.setFilter(new CorsFilter(source));
        registrationBean.setOrder(-1);
        return registrationBean;
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

1、服务端代码

import org.springframework.web.bind.annotation.*;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.text.SimpleDateFormat;
import java.util.Date;
import java.util.Map;

@RestController
@RequestMapping("/user")
public class UserController {
    @GetMapping("/getName")
    public String getName(){
        return "用户的名称为张三";
    }

    @PostMapping("/save")
    public String save(@RequestBody Map<String,String> user, HttpServletRequest request, HttpServletResponse response){
        SimpleDateFormat format = new SimpleDateFormat("yyyyMMddHHmmss");
        System.out.println("username："+user.get("username"));
        System.out.println("password："+user.get("password"));

        // 测试跨域携带cookie
        boolean hasMyCookie = false;
        if(null != request.getCookies() && request.getCookies().length > 0){
            for (Cookie cookie : request.getCookies()) {
                if("sb-co".equals(cookie.getName())){
                    hasMyCookie = true;
                }
                System.out.println(cookie.getName()+"："+cookie.getValue());
            }
        }
        if(!hasMyCookie){
            Cookie cookie = new Cookie("sb-co", format.format(new Date()));
            cookie.setMaxAge(3600);
            response.addCookie(cookie);
        }
        return "保存用户成功";
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

2、前端页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="jquery-3.4.1.js"></script>
    <script>
        $(function () {
            $("#getName").click(function () {
                $.ajax({
                    url: "http://localhost:8182/user/getName",
                    method : "get",
                    success:function (result) {
                        alert(result)
                    }
                });
            });
            $("#saveUser").click(function () {
                $.ajax({
                    url: "http://localhost:8182/user/save",
                    method : "post",
                    contentType : "application/json;charset=UTF-8",
                    data : JSON.stringify({
                        "username":"孙悟空"
                    }),
                    xhrFields : {withCredentials : true},
                    success:function (result) {
                        alert(result)
                    }
                });
            });
        });
    </script>
</head>
<body>
    <button id="getName">简单请求-获取用户名称</button>
    <button id="saveUser">预检请求：保存用户</button>
</body>
</html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

3、运行服务

将静态资源文件放到某个目录下，然后在nginx.conf中配置location，如下所示。

# server模块下；root为静态资源存放目录
server {
        listen       80;
        location / {
            root   html/SpringMvc;
            index  index.html index.htm;
        }
}
1
2
3
4
5
6
7
8

然后启动nginx，作为静态资源服务器。

启动Spring Boot。

浏览器访问http://localhost ，如下图所示。

分别测试简单请求和预检请求，观察浏览器控制台Network，如下图所示。

preflight就是预检请求。状态都是200，说明跨域是OK的。

通过UserController.save方法的代码可知，第一次请求时会response会携带cookie “sb-co”，这是一个跨域cookie。当我们再次请求时，由于我们配置了允许跨域cookie，请求里会携带“sb-co”，后端控制台也能打印该cookie的值，如下图所示。

3、Spring Security跨域解决方案

引入spring security框架后，第1、2种方案都会失效，第3种方案如果过滤器的优先级要低于spring security的优先级也会失效。

如果配置的是第1、2种方案或低优先级filter的第3种方案，预检请求会先到达spring security的过滤器，由于预检请求不会携带任何凭证信息，因此会被拦截下来。

spring security解决方案：

• 使用第1、2种方案或低优先级filter的第3种方案：需要让spring security对options类型的预检请求（不会携带凭证）放行
• 使用高优先级的filter：优先级必须高于spring security过滤器链中最高优先级的过滤器
• 专业解决方案：开启cors

以下有三种方式可以开启spring security的cors：

• 手动指定一个CorsConfigurationSource实例
• 声明一个CorsFilter的Spring Bean
• 将CorsConfigurationSource实例声明为Spring Bean，不用手动指定