前后端分离之Spring-Boot实现CORS跨域访问

2018-12-04  本文已影响7人  Long兄

关于CORS跨域访问的解释,请参考下面的博客:
http://www.ruanyifeng.com/blog/2016/04/cors.html
缩简称一张图如下:

CORS跨域原理
实现跨域共需要四步:

第一步

基本不用做什么,浏览器都实现了跨域访问自动在Request Headers添加跨域的信息:

Origin: http://localhost:8089
Access-Control-Request-Headers: content-type
Access-Control-Request-Method: GET

第二步

服务端需要告诉浏览器,是否允许这个域名跨域访问自己,以及自己设置的跨域信息:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Methods: GET
Access-Control-Allow-Origin: http://localhost:8089
Access-Control-Max-Age: 86400

体现在代码里就是:

/**
 * 设置跨域请求.
 */
@Configuration
public class CorsConfig {

    @Value("${cors.allowed.origin}")
    private String allowedOrigin;

    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(24 * 3600L); // 预检请求的有效期
        if (null != allowedOrigin) {
            String[] origins = allowedOrigin.split(",");
            for (String origin : origins) {
                corsConfiguration.addAllowedOrigin(origin); // 允许跨域请求的源地址
            }
        }
        corsConfiguration.addAllowedHeader("*"); // 支持的所有头信息字段
        corsConfiguration.addAllowedMethod("*"); // 支持的所有跨域请求的方法
        return corsConfiguration;
    }

    /**
     * Cors过滤器.
     */
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig()); // 对接口配置跨域设置
        return new CorsFilter(source);
    }
}

将所有允许跨域访问的源地址以逗号分隔,配置在application.properties中既可。也可以

corsConfiguration.setAllowedOrigin(*) // 允许所有的域名跨域访问,但不建议这么设置

默认CORS请求不会携带Cookie和Http认证信息,但是个别浏览器比较顽固,不理会服务器的感受,强行发送Cookie,这时Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。

第三步

第四步

这两就是正常的请求,只不过浏览器每次会有一个Origin头信息字段;服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。

上一篇下一篇

猜你喜欢

热点阅读