springboot post请求跨域_java


什么是跨域?

简单理解,就是在不前网页下,试图访问另外一个不同域名下的资源时,受到浏览器同源策略的限制,而无法正常获取数据的情况;

什么是同源策略

同源策略是浏览器出于安全考虑而制定的一种限制资源访问的规则,即协议、域名、端口都相同的两个资源地址属于同源任意一项不同就视为非同源;同源策略的限制就是浏览器要求只有相同的协议、域名、端口之下的资源可以互相访问,不符合同源策略要求的访问给予限制;

跨域场景举例:


URL

说明

是否允许访问

http://www.fanfu.com/a.js

http://www.fanfu.com/b.js

同一协议、域名、端口

允许

http://www.fanfu.com:8080/a.js

http://www.fanfu.com:8081/b.js

同一协议、域名,不同端口

不允许

http://www.fanfu.com:8080/a.js

http://www.fanfu2.com:8080/b.js

同一协议、端口,不同域名

不允许

http://www.fanfu.com:8080/a.js

https://www.fanfu.com:8080/b.js

同一域名、端口,不同协议

不允许

http://www.fanfu.com:8080/a.js

http://www.fanfu2.com:8081/b.js

同一协议,不同域名、端口

不允许

http://www.fanfu.com:8080/a.js

https://www.fanfu.com:8081/b.js

同一域名,不同协议、端口

不允许

http://www.fanfu.com:8080/a.js

https://www.fanfu2.com:8080/b.js

同一端口,不同协议、域名

不允许

http://www.fanfu.com:8080/a.js

https://www.fanfu2.com:8081/b.js

协议、域名、端口都不同

不允许


解决跨域的思路

跨域访问问题的出现,起因于浏览器的同源策略,然而事情的事相是跨域请求可以发出去,服务器端也可以收到请求并返回正常的结果,只是最终的响应结果被浏览器拦截了。如今是什么形形势了?前后端分离,分布式部署、微服务等如雨后春笋般出现了,都有跨域访问的需要,同源策略限制,似乎有点不合时宜。那么解决这个问题的思路是什么呢?

其实理解了什么是同源策略以及跨域问题出现的原因,解决思路也就再明显不过了。既然是前端发起请求后,后端收到请求也处理了请求并响应了结果,只是浏览器把结果给拦截了,那么最直接的想法就是在前端绕过同源策略限制,怎么绕过去呢?html中有三个标签img标签、link标签、script标签是允许跨域加载资源的,因此最早跨域问题的解决是利用script标签没有跨域限制的漏洞来实现,但是这种方法局限性太大了,仅支持get请求。

Springboot项目中如何解决跨域问题

不能看着前端兄弟如此难受呀,后端兄弟申请出战!

后端其实也没有什么太好的办法,从原理上讲就是修改响应头,具体到Springboot项目中,实施起来是有三种方式可以选,分别是:

1、自定义org.springframework.web.filter.CorsFilter;

@Bean
    public CorsFilter corsFilter(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedHeader("*");//允许跨域的请求头
        corsConfiguration.addAllowedOrigin("*");//允许的域名,*表示所有,也可以是具体的域名
        corsConfiguration.addAllowedMethod("*");//允许跨域的请求
        corsConfiguration.setAllowCredentials(true);//允许跨域标志位
        UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**",corsConfiguration);//对哪些路径进行跨域设置,**表示所有
        CorsFilter corsFilter = new CorsFilter(urlBasedCorsConfigurationSource);
        return corsFilter;
    }
     @Bean
    public CorsFilter corsFilter(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedHeader("*");//允许跨域的请求头
        corsConfiguration.addAllowedOrigin("*");//允许的域名,*表示所有,也可以是具体的域名
        corsConfiguration.addAllowedMethod("*");//允许跨域的请求
        corsConfiguration.setAllowCredentials(true);//允许跨域标志位
        UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**",corsConfiguration);//对哪些路径进行跨域设置,**表示所有
        CorsFilter corsFilter = new CorsFilter(urlBasedCorsConfigurationSource);
        return corsFilter;
    }

2、实现org.springframework.web.servlet.config.annotation.WebMvcConfigurer接口,重写addCorsMappings();

@Configuration
class CorsFilterConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")//对哪些路径进行跨域设置,**表示所有
                .allowCredentials(true)//允许跨域标志位
                .allowedHeaders("/*")//允许跨域的请求头
                .allowedMethods("GET","POST","PUT","DELETE")//允许跨域的请求
                .allowedOrigins("*");//允许的域名,*表示所有,也可以是具体的域名
    }
}
@Configuration
class CorsFilterConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")//对哪些路径进行跨域设置,**表示所有
                .allowCredentials(true)//允许跨域标志位
                .allowedHeaders("/*")//允许跨域的请求头
                .allowedMethods("GET","POST","PUT","DELETE")//允许跨域的请求
                .allowedOrigins("*");//允许的域名,*表示所有,也可以是具体的域名
    }
}

3、@CrossOrigin注解里有一些属性,也可以设置一些跨域配置参数;

@GetMapping("/students")
@CrossOrigin
public List<Student> studentList(Student param) {
    List<Student> result = new ArrayList<>();
    //列表查询业务逻辑
    Student student = new Student();
    student.setName("张三");
    result.add(student);
    student = new Student();
    student.setName("李四");
    result.add(student);
    return result;
}
@GetMapping("/students")
@CrossOrigin
public List<Student> studentList(Student param) {
    List<Student> result = new ArrayList<>();
    //列表查询业务逻辑
    Student student = new Student();
    student.setName("张三");
    result.add(student);
    student = new Student();
    student.setName("李四");
    result.add(student);
    return result;
}

后端解决跨域问题的验证过程

1、启动两个Springboot示例,端口分别是8080和8081,是不是有人还不知道怎么使用idea同时启动两个实例?很简单!定义两个启动配置项,分别设置端口为8080和8081,这里设置的端口优先级比application.properties里的端口要高;


springboot post请求跨域_spring boot_02


2、在resources下的static目录下,新建cross.html文件,打开http://localhost:8081/cross.html,不会出现跨域访问,因为协议、域名、端口都一样;打开http://localhost:8080/cross.html,就会出现跨域问题,因为http://localhost:8080/cross.html请求了http://localhost:8081/students的内容,端口不一样;

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script type="text/javascript" src="https://code.jquery.com/jquery-3.1.1.min.js"></script>
    <script type="text/javascript" src="lib/require.js"></script>
</head>
<body>
<div id="testContent">
</div>
</body>
<script type="text/javascript">
    $.ajax({
        url: 'http://localhost:8081/students',
        method: 'get',
        success: function (res) {
            console.log(res)
            if (res) {
                res.forEach(function (item, index, res) {
                    console.log(item.name)
                    $('#testContent').append('<p>' + item.name + '</p>')
                })
            }
        }
    })
</script>
</html>
@GetMapping("/students")
//    @CrossOrigin
    public List<Student> studentList(Student param) {
        List<Student> result = new ArrayList<>();
        //列表查询业务逻辑
        Student student = new Student();
        student.setName("张三");
        result.add(student);
        student = new Student();
        student.setName("李四");
        result.add(student);
        return result;
    }
    @GetMapping("/students")
//    @CrossOrigin
    public List<Student> studentList(Student param) {
        List<Student> result = new ArrayList<>();
        //列表查询业务逻辑
        Student student = new Student();
        student.setName("张三");
        result.add(student);
        student = new Student();
        student.setName("李四");
        result.add(student);
        return result;
    }

3、傅用上述的三种方法依次来验证,就可以从后端来解决跨域的问题;

前端的解决跨域的方法

换作以前,前后端还没有分家,后端兄弟这么做基本没什么问题,如今前后端分离,前端的能力的多元化,且日趋成熟,所谓前端早已不是传统意义上的前端,js程序不光可以运行在浏览器,还可以运行在后端服务器上,前端的问题还让后端的兄弟来解决,前端的兄弟们多少有点于心不忍,于是新的方法产生了:在前端构造起一个代理服务,页面上请求先到前端的代理服务上,再由代理服务转发到后端服务器上;

实现原理也很简单:同源策略是浏览器需要遵循的标准,而如果是服务器向服务器发送请求就不需要遵循同源策略了,这就变相绕过了浏览器的同源策略限制。

具体实施就是:1、在客服端构建一个代理服务,客户端的请求不直接请求后端接口,而是请求客户端构建的代理服务;

2、代理服务作为同源的代理服务端收到客户端的请求后,再以客户端的身份把请求转发到后端;

3、后端处理完请求返回响应结果,给了代理服务,代理服务再转给实际请求方;


springboot post请求跨域_springboot post请求跨域_03


总结

另外一个方法也是同样的原理,就是使用nginx反向代理实现跨域,这是最简单的方式,目前大多的实际业务场景中都是这种方式,只需要修改nginx的相关配置即可,支持所有的浏览器、支持session,不需要修改前后端的任何代码,并且也不会影响服务器性能。

既然使用nginx作为反向代理来解决跨域问题最为简单,为什么还要说后端怎么解决、前端怎么解决呢?不知道大家能不能理解,我认为过去的方法或许有些落后,但是还是有参考意义的,了解过去,知道现在,才能展望未来嘛,有句话说得挺好,日光之下并无新事。即便nginx今天是最简单的方式,谁又能保证到了明天的明天,现在的方式会依旧先进?