在Springboot中添加过滤器,解决前端访问跨域问题
2018-07-11 本文已影响0人
semaphore
最近在做一个前后端分离的项目,前端是基于Node.js,后端是用的springboot框架,本地调试的时候,前端发起ajax请求,会出现跨域的问题,为了解决这个问题,参考网上的已有方案,将自己的解决方法记录一下。
- 在项目中添加一个过滤器,过滤前端发起的请求,通过设置响应的响应头信息,来达到跨域的目的。而前端不需要做任何处理就可以实现跨域访问。
1.实现Filter接口,重写doFilter方法
import org.apache.http.HttpStatus;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* 允许跨域访问过滤器
*/
public class CorsFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
HttpServletResponse httpServletResponse = (HttpServletResponse) servletResponse;
//指定允许其他域名访问
httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
//响应头设置
httpServletResponse.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
//响应类型
httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
if ("OPTIONS".equals(httpServletRequest.getMethod())) {
httpServletResponse.setStatus(HttpStatus.SC_NO_CONTENT);
}
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
}
}
- 其中
httpServletResponse.setStatus(HttpStatus.SC_NO_CONTENT);这段代码是设置响应的状态码,HttpStatus.SC_NO_CONTENT这个常量代表以下意思:
| 状态码 | 状态码英文名称 | 中文描述 |
|---|---|---|
| 204 | No Content | 无内容。服务器成功处理,但未返回内容。在未更新网页的情况下,可确保浏览器继续显示当前文档 |
2.添加相应的配置类
import com.maxus.portal.api.controller.common.CorsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
@Configuration
public class FilterConfig {
@Bean
public FilterRegistrationBean CorsFilter() {
FilterRegistrationBean registrationBean = new FilterRegistrationBean();
//注入过滤器
registrationBean.setFilter(new CorsFilter());
//过滤器名称
registrationBean.setName("CorsFilter");
//拦截规则
registrationBean.addUrlPatterns("/*");
//过滤器顺序
registrationBean.setOrder(FilterRegistrationBean.HIGHEST_PRECEDENCE);
return registrationBean;
}
}
3.重启你的springboot,前端再次发起访问,就没有了跨域问题了。至此,问题就得到了解决,把这个记录一下,希望能帮到其他人。如果你想了解其中的原理,请继续往下看。
1. Access-Control-Allow-Origin
- 服务器默认是不被允许跨域的。配置
Access-Control-Allow-Origin *后,表示服务器可以接受所有的请求源(Origin),即接受所有跨域的请求。
2. Access-Control-Allow-Headers 是为了防止出现以下错误:
Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.- 这个错误表示当前请求
Content-Type的值不被支持。其实是我们发起了application/json的类型请求导致的。这里涉及到一个概念:预检请求(preflight request),请看下面"预检请求"的介绍。
3. Access-Control-Allow-Methods 是为了防止出现以下错误:
Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.- 发送"预检请求"时,需要用到方法
OPTIONS,所以服务器需要允许该方法。
预检请求(preflight request)
- 上面的配置涉及到了一个W3C标准:CROS,全称是跨域资源共享 (Cross-origin resource sharing),它的提出就是为了解决跨域请求的。
跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,允许服务器声明哪些源站有权限访问哪些资源。另外,规范要求,对那些可能对服务器数据产生副作用的HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨域请求。服务器确认允许之后,才发起实际的 HTTP 请求。在预检请求的返回中,服务器端也可以通知客户端,是否需要携带身份凭证(包括 Cookies 和 HTTP 认证相关数据)。
- 其实
Content-Type字段的类型为application/json的请求就是上面所说的搭配某些 MIME 类型的POST请求,CORS规定,Content-Type不属于以下MIME类型的,都应该发起"预检"请求:
application/x-www-form-urlencoded
multipart/form-data
text/plain
- 所以
application/json的请求会在正式通信之前,增加一次"预检"请求,这次"预检"请求会带上头部信息Access-Control-Request-Headers: Content-Type
例如:
OPTIONS /api/test HTTP/1.1
Origin: http://foo.example
Access-Control-Request-Method: POST
Access-Control-Request-Headers: Content-Type
... 省略了一些
- 服务器响应时,返回的头部信息如果不包含
Access-Control-Request-Headers: Content-Type则表示不接受非默认的的Content-Type。即出现以下错误:
Request header field Content-Type is not allowed by Access-Control-Allow-Headers in preflight response.
文中如有错误,欢迎指正。
参考链接
