SpringBoot 項(xiàng)目處理跨域的四種技巧

作者：勇哥 2025-01-06 08:33:10

CORS?是一個(gè)?W3C?標(biāo)準(zhǔn)，全稱是"跨域資源共享"（Cross-origin ?resource ?sharing）, 它需要瀏覽器和服務(wù)器同時(shí)支持他，允許瀏覽器向跨源服務(wù)器發(fā)送XMLHttpRequest請(qǐng)求，從而克服 AJAX 只能同源使用的限制。

上周幫一家公司優(yōu)化代碼時(shí)，順手把跨域的問(wèn)題解決了，這篇文章，我們聊聊 SpringBoot 項(xiàng)目處理跨域的四種技巧。

圖片

一、什么是跨域

我們先看下一個(gè)典型的網(wǎng)站的地址：

圖片

同源是指：協(xié)議、域名、端口號(hào)完全相同。

下表給出了與 URL http://www.training.com/dir/page.html 的源進(jìn)行對(duì)比的示例 :

圖片

當(dāng)用戶通過(guò)瀏覽器訪問(wèn)應(yīng)用（http://admin.training.com）時(shí)，調(diào)用接口的域名非同源域名(http://api.training.com)，這是顯而易見的跨域場(chǎng)景。

二、理解 CORS

CORS 是一個(gè) W3C 標(biāo)準(zhǔn)，全稱是"跨域資源共享"（Cross-origin resource sharing）, 它需要瀏覽器和服務(wù)器同時(shí)支持他，允許瀏覽器向跨源服務(wù)器發(fā)送XMLHttpRequest請(qǐng)求，從而克服 AJAX 只能同源使用的限制。

跨域資源共享標(biāo)準(zhǔn)新增了一組 HTTP 首部字段，允許服務(wù)器聲明哪些源站通過(guò)瀏覽器有權(quán)限訪問(wèn)哪些資源。

規(guī)范要求，對(duì)那些可能對(duì)服務(wù)器數(shù)據(jù)產(chǎn)生副作用的 HTTP 請(qǐng)求方法（特別是 GET 以外的 HTTP 請(qǐng)求，或者搭配某些 MIME 類型的 POST 請(qǐng)求），瀏覽器必須首先使用 OPTIONS 方法發(fā)起一個(gè)預(yù)檢請(qǐng)求（preflight request），從而獲知服務(wù)端是否允許該跨域請(qǐng)求。

服務(wù)器確認(rèn)允許之后，才發(fā)起實(shí)際的 HTTP 請(qǐng)求。在預(yù)檢請(qǐng)求的返回中，服務(wù)器端也可以通知客戶端，是否需要攜帶身份憑證（包括 Cookies 和 HTTP 認(rèn)證相關(guān)數(shù)據(jù)）。

圖片

1.簡(jiǎn)單請(qǐng)求

簡(jiǎn)單請(qǐng)求模式，瀏覽器直接發(fā)送跨域請(qǐng)求，并在請(qǐng)求頭中攜帶 Origin 的頭，表明這是一個(gè)跨域的請(qǐng)求。服務(wù)器端接到請(qǐng)求后，會(huì)根據(jù)自己的跨域規(guī)則，通過(guò) Access-Control-Allow-Origin 和 Access-Control-Allow-Methods 響應(yīng)頭，來(lái)返回驗(yàn)證結(jié)果。

圖片

2.預(yù)檢請(qǐng)求

瀏覽器在發(fā)現(xiàn)頁(yè)面發(fā)出的請(qǐng)求非簡(jiǎn)單請(qǐng)求，并不會(huì)立即執(zhí)行對(duì)應(yīng)的請(qǐng)求代碼，而是會(huì)觸發(fā)預(yù)先請(qǐng)求模式。預(yù)先請(qǐng)求模式會(huì)先發(fā)送preflight request（預(yù)先驗(yàn)證請(qǐng)求），preflight request是一個(gè) OPTION 請(qǐng)求，用于詢問(wèn)要被跨域訪問(wèn)的服務(wù)器，是否允許當(dāng)前域名下的頁(yè)面發(fā)送跨域的請(qǐng)求。在得到服務(wù)器的跨域授權(quán)后才能發(fā)送真正的 HTTP 請(qǐng)求。

圖片