前後端分離,後端用springboot遇到的跨域問題

ben4發表於2018-03-06

對於前後端分離的專案來說，如果前端專案與後端專案部署在兩個不同的域下，那麼勢必會引起跨域問題的出現。

什麼是跨域？

跨域，指的是瀏覽器不能執行其他網站的指令碼。它是由瀏覽器的同源策略造成的，是瀏覽器施加的安全限制。簡單來說就是不同域名之間相互訪問

同源策略:請求的url地址,必須與瀏覽器上的url地址處於同域上,也就是域名,埠,協議相同.

例如：
http://www.a.com 要訪問 http://www.b.com 這樣域名不同，屬於跨域
http://www.a.com:8081/index.html呼叫http://www.a.com:8080的介面這樣埠號不同也屬於跨域
http://www.a.com:訪問https://www.a.com 這樣也是屬於跨域協議不一樣

所以在以前前後端不分離的開發模式中，從來不用關注這個問題，因為所有的請求都是在同一個域內

綜合了網上解決跨域的方式目前有兩種

1.使用JSONP

不過我不太推薦使用，JSONP只支援GET請求，不管是對於前端還是後端來說，寫法與我們平常的ajax寫法不同，同樣後端也需要作出相應的更改。
JSONP的優勢在於支援老式瀏覽器，以及可以向不支援CORS的網站請求資料。

2.通過cors協議解決跨域問題

CORS支援所有型別的HTTP請求。
這個也是我非常推薦大家使用的方法
下面我來說下專案中遇到的問題
前端：vue.js
後端：springboot

前端請求介面時，報錯資訊如下

Origin `http://localhost:8080` is therefore not allowed access.
 The credentials mode of an XMLHttpRequest is controlled by the withCredentials attribute

解決方法：
前端請求開啟 withCredentials: true
後臺介面也需要對應的將 Access-Control-Allow-Credentials 設為 true。

前端攜帶token傳後端時報錯

Request header field token is not allowed by 
Access-Control-Allow-Headers in preflight response.

這是由於請求頭內並沒有這個名叫token的請求頭欄位
預設情況下，只有六種 simple response headers （簡單響應首部）可以暴露給外部：Cache-Control Content-Language Content-Type Expires Last-Modified Pragma
如果想要讓客戶端可以訪問到其他的首部資訊，可以將它們在Access-Control-Expose-Headers 裡面列出來。

所以解決方法是：

在Access-Control-Allow-Headers新增自定義的請求頭欄位Token
如果還有其他請求頭欄位需要使用，也是需要在Access-Control-Allow-Headers新增，不然伺服器是不允許的

後面還有一個問題：

Response to preflight request doesn`t pass access control check: 
No `Access-Control-Allow-Origin` header is present on the requested resource. 
Origin `http://localhost:8080` is therefore not allowed access. 
The response had HTTP status code 503.

這個是請求頭返回服務不可用

解決方式：

我看了下程式碼原來是我寫了兩個跨域過濾一個是用寫過濾器Filter，一個是繼承webmvcconfigureradapter然後我註釋了其中一個就可以了，我想應該是兩個跨域處理器衝突了

擴充

現在開發客戶端都是發非簡單請求
非簡單請求是那種對伺服器有特殊要求的請求，比如請求方法是PUT或DELETE，或者Content-Type欄位的型別是application/json。也就是通過json資料互動
非簡單請求的CORS請求，會在正式通訊之前，增加一次HTTP查詢請求，稱為”預檢”請求（preflight）。

流程

瀏覽器先詢問伺服器，當前網頁所在的域名是否在伺服器的許可名單之中，以及可以使用哪些HTTP動詞和頭資訊欄位。只有得到肯定答覆，瀏覽器才會發出正式的XMLHttpRequest請求，否則就報錯。

“預檢”請求用的請求方法是OPTIONS，表示這個請求是用來詢問的。頭資訊裡面，關鍵欄位是Origin，表示請求來自哪個源。
一般不特殊指定源的話都將Access-Control-Allow-Origin設定為*
除了Origin欄位，”預檢”請求的頭資訊包括兩個特殊欄位。
（1）Access-Control-Request-Method
該欄位是必須的，用來列出瀏覽器的CORS請求會用到哪些HTTP方法
所使用到的方法也是要在跨域處理器中說明
也就是在Access-Control-Allow-Methods中加入各種請求方法
例如：POST PUT, GET, OPTIONS, DELETE
（2）Access-Control-Request-Headers
該欄位是一個逗號分隔的字串，指定瀏覽器CORS請求會額外傳送的頭資訊欄位
這個上面有說到，專案需要什麼額外的請求頭欄位就新增上去
伺服器收到”預檢”請求以後，檢查了Origin、Access-Control-Request-Method和Access-Control-Request-Headers欄位以後，確認允許跨源請求，就可以做出回應。
說了這麼
我分享下我的跨域處理的程式碼（我這裡是使用過濾器的寫法，也可以使用繼承webmvcconfigureradapter的方法）

@Component
public class CorsFilter implements Filter {

    /*跨域請求配置*/
    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;

        HttpServletRequest reqs = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "5000");
        response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,Authorization,Token");
        chain.doFilter(req, res);
    }
    @Override
    public void init(FilterConfig filterConfig) {}
    @Override
    public void destroy() {}
}

繼承webmvcconfigureradapter的方法

@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT")
                .allowedHeaders("Content-Type", "X-Requested-With", "accept", "Origin", "Access-Control-Request-Method",
                        "Access-Control-Request-Headers")
                .exposedHeaders("Access-Control-Allow-Origin", "Access-Control-Allow-Credentials")
                .allowCredentials(true).maxAge(3600);
    }
}

注:以上寫法二選一即可，兩個都寫估計還是會衝突，兩者作用一樣只是寫法不同

前後端分離解決跨域問題
2020-11-08
後端跨域
前後端分離跨域問題解決
2017-11-24
後端跨域
Vue+SpringBoot前後端分離中的跨域問題
2021-08-11
VueSpring Boot後端跨域
解決 Laravel 5.8 前後端分離跨域問題
2019-03-29
Laravel後端跨域
前後端分離解決session跨域丟失問題
2018-12-04
後端Session跨域
前後端分離專案，如何解決跨域問題？
2022-02-24
後端跨域
前後端分離實踐 — 如何解決跨域問題
2016-08-14
後端跨域
SpringBoot 前後端動靜分離+叢集遇到的第一個問題：跨域session共享
2018-04-16
Spring Boot後端跨域Session
springboot使用Filter解決前後端分離，產生的跨域問題
2018-06-22
Spring BootFilter後端跨域
SpringBoot解決前後端跨域問題
2021-01-04
Spring Boot後端跨域
前後端分離下的跨域CAS請求
2019-02-16
後端跨域
SpringBoot 配置CORS處理前後端分離跨域配置無效問題解析
2023-04-23
Spring BootCORS後端跨域
vue2 前後端分離專案ajax跨域session問題解決
2017-04-26
Vue後端跨域Session
超簡單的前端跨域、前後端分離解決方案
2018-05-23
前端跨域後端
前後端分離後的前端時代
2017-07-12
後端前端
???前後端分離模式的思考???
2020-02-27
後端模式
再談前後端分離
2019-03-01
後端
前後端分離那些事
2019-04-04
後端
淺談前後端分離
2018-12-25
後端
前後端分離——使用OSS
2023-01-29
後端
前後端分離之更好的mock你的後端api
2019-05-17
後端MockAPI
用jQuery怎麼做到前後端分離
2019-02-16
jQuery後端
無需CORS，用nginx解決跨域問題，輕鬆實現低程式碼開發的前後端分離
2022-07-15
CORSNginx跨域後端
前後端分離的優缺點
2019-02-27
後端
實現前後端分離的心得
2018-08-31
後端
簡單的前後端分離 Cas
2018-12-27
後端
實踐中的前後端分離
2017-10-09
後端
淺談前後端分離中的跨資源共享（CORS）
2018-12-25
後端CORS
前後端分離——資料mock
2018-08-10
後端Mock
vue前後端分離修改webpack
2018-11-29
Vue後端Web
前後端分離整合SpringSecurity
2020-12-11
後端SpringGse
前後端分離，最佳實踐
2016-11-07
後端
淺談WEB前後端分離
2016-12-27
Web後端
什麼是前後端分離？
2017-10-10
後端
前後端分離實踐有感
2018-01-14
後端
從MVC到前後端分離
2015-10-26
MVC後端
前後端分離Ajax入門
2024-03-15
後端
SpringBoot,Vue前後端分離開發首秀
2019-05-04
Spring BootVue後端