蚂蚁二面：Spring Boot 实现跨域有几种方式？

Posted 2023-04-10 不会敲代码的谌

一、为什么会出现跨域问题

出于浏览器的同源策略限制。同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol），主机（host）和端口号（port）

二、什么是跨域

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

三、非同源限制

1. 无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB
2. 无法接触非同源网页的 DOM
3. 无法向非同源地址发送 AJAX 请求

四、java 后端 实现 CORS 跨域请求的方式

1. 返回新的CorsFilter
3. 使用注解 @CrossOrigin
5. 自定web filter 实现跨域

• CorFilter / WebMvConfigurer / @CrossOrigin 需要 SpringMVC 4.2以上版本才支持，对应springBoot 1.3版本以上
• 其实无论哪种方案，最终目的都是修改响应头，向响应头中添加浏览器所要求的数据，进而实现跨域。
• 最新面试题整理好了，大家可以在小程序在线刷题。

1.返回新的 CorsFilter(全局跨域)

Spring Boot 基础就不介绍了，推荐下这个实战教程：

https://github.com/javastacks/spring-boot-best-practice

在任意配置类，返回一个 新的 CorsFIlter Bean ，并添加映射路径和具体的CORS配置路径。

2. 重写 WebMvcConfigurer(全局跨域)

@Configuration
public class CorsConfig implements WebMvcConfigurer 
    @Override
    public void addCorsMappings(CorsRegistry registry) 
        registry.addMapping( "/**")
                //是否发送Cookie
                .allowCredentials( true)
                //放行哪些原始域
                .allowedOrigins( "*")
                .allowedMethods(new String[] "GET",  "POST",  "PUT",  "DELETE")
                .allowedHeaders( "*")
                .exposedHeaders( "*");
    

3. 使用注解 (局部跨域)

在控制器(类上)上使用注解 @CrossOrigin:，表示该类的所有方法允许跨域。Spring Boot 系列最全教程看这里：https://www.javastack.cn/springboot/

在方法上使用注解 @CrossOrigin:

4. 手动设置响应头(局部跨域)

使用 HttpServletResponse 对象添加响应头(Access-Control-Allow-Origin)来授权原始域，这里 Origin的值也可以设置为 “*”,表示全部放行。

5. 使用自定义filter实现跨域

首先编写一个过滤器，可以起名字为MyCorsFilter.java

在web.xml中配置这个过滤器，使其生效

<!--&nbsp;跨域访问&nbsp;START-->
<filter>
&nbsp;<filter-name>CorsFilter</filter-name>
&nbsp;<filter-class>com.mesnac.aop.MyCorsFilter</filter-class>
</filter>
<filter-mapping>
&nbsp;<filter-name>CorsFilter</filter-name>
&nbsp;<url-pattern>/*</url-pattern>
</filter-mapping>
<!--&nbsp;跨域访问&nbsp;END&nbsp;&nbsp;-->

都学会了吧？建议收藏备用！

Ajax+Spring MVC实现跨域请求（JSONP）(转)

背景：

AJAX向后台（springmvc）发送请求，报错：已阻止交叉源请求：同源策略不允许读取 http://127.0.0.1:8080/DevInfoWeb/getJsonp 上的远程资源。可

以将资源移动到相同的域名上或者启用 CORS 来解决这个问题。

百度一下，发现是遇到了跨域请求请求问题。搜集资料如下

JSONP解释

在解释JSONP之前,我们需要了解下”同源策略“这个概念,这对理解跨域有帮助。基于安全的原因,浏览器是存在同源策略机制的,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载额文档的属性。有点绕,说的简单点就是浏览器限制脚本只能和同协议、同域名、同端口的脚本进行交互。

JSONP就是为了解决这一问题的,JSONP是英文JSON with Padding的缩写,是一个非官方的协议。他允许服务端生成script tags返回值客户端,通过javascript callback的形式来实现站点访问。JSONP是一种script tag的注入,将server返回的response添加到页面是实现特定功能。

简而言之,JSONP本身不是复杂的东西,就是通过scirpt标签对javascript文档的动态解析绕过了浏览器的同源策略。

JSONP原理及实现

接下来,来实际模拟一个跨域请求的解决方案。后端为Spring MVC架构的,前端则通过Ajax进行跨域访问。

1、首先客户端需要注册一个callback(服务端通过该callback(jsonp)可以得到js函数名(jsonpCallback))，然后以JavaScript语

法的方式,生成一个function

2、接下来,将JSON数据直接以入参的方式,放置到function中,这样就生成了一段js语法文档,返回给客户端。

3、最后客户端浏览器动态的解析script标签,并执行返回的JavaScript语法文档片段,此时数据作为参数传入到了预先定义好的

回调函数里(动态执行回调函数)。

这种动态解析js文档和eval函数是类似的。

 

经过一番努力，解决如下：

SpringMVC端：

@RequestMapping("/get")  
     public void get(HttpServletRequest req,HttpServletResponse res) {  
         res.setContentType("text/plain");  
         String callbackFunName =req.getParameter("callbackparam");//得到js函数名称  
         try {  
             res.getWriter().write(callbackFunName + "([ { name:\"John\"}])"); //返回jsonp数据  
         } catch (IOException e) {  
             e.printStackTrace();  
         }  
     }  
       
     @RequestMapping("/getJsonp")  
     @ResponseBody  
     public JSONPObject getJsonp(String callbackparam){  
        Company company=new Company();  
        company.setAddress("广州天河华景软件园");  
        company.setEmail("[email protected]");  
        company.setName("广州讯动网络可以有限公司");  
        company .setPhone("12345678912");  
        return new JSONPObject(callbackparam, company);   
     }

AJAX端：

<!DOCTYPE html>  
    <html>  
    <head>  
    <meta charset="utf-8">  
        <script src="http://code.jquery.com/jquery-2.1.3.min.js"></script>  
    <script>  
    $(document).ready(function(){  
          
          
    $("#but1").click(function(){  
         $.ajax({  
            url:‘http://127.0.0.1:8080/DevInfoWeb/get‘,  
            type: "get",  
            async: false,  
            dataType: "jsonp",  
            jsonp: "callbackparam", //服务端用于接收callback调用的function名的参数   
            jsonpCallback: "success_jsonpCallback", //callback的function名称,服务端会把名称和data一起传递回来   
            success: function(json) {  
             alert(json);  
            },  
            error: function(){alert(‘Error‘);}  
    });  
    });  
      
      
    $("#but2").click(function(){  
         $.ajax({  
            url:‘http://127.0.0.1:8080/DevInfoWeb/getJsonp‘,  
            type: "get",  
            async: false,  
            dataType: "jsonp",  
            jsonp: "callbackparam", //服务端用于接收callback调用的function名的参数   
            jsonpCallback: "success_jsonpCallback", //callback的function名称,服务端会把名称和data一起传递回来   
            success: function(json) {  
             alert(json);  
            },  
            error: function(){alert(‘Error‘);}  
    });  
    });  
      
      
    });  
    </script>  
    </head>  
    <body>  
      
    <div id="div1"><h2>使用 jQuery AJAX 来改变文本</h2></div>  
    <button id="but1">按钮1</button> <br/>  
    <button id="but2">按钮2</button>  
      
    </body>  
    </html>