SpringBoot教程(七) | SpringBoot解决跨域问题

上篇文章我们介绍了SpringBoot的拦截器的写法，其中有一个比较重要的步骤，就是把我们写好的拦截器注册到Spring的一个配置类中，这个类是实现了WebMvcConfigurer 接口，这个类很重要，因为这个类中除了可以注册拦截以外，还可以配置很多内容。今天我们来讲解一下SpringBoot如何解决跨域问题。先来解释一下什么是跨域问题。

7.1 什么是跨域？

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域

7.2 为什么会出现跨域

出于浏览器的同源策略限制。同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol），主机（host）和端口号（port）

但是以前的程序为什么没有过跨域问题的困扰呢。那是因为以前的程序都不是前后端分离的。比如之前的jsp, freemarker实现的前端，他们和后端的代码都是放到一起的，所以他们一起部署，具有相同的域名，协议和端口号，自然不存在跨域的问题。

但是现在的程序都是前后端分离的程序，前后端分离的程序有什么特点，就是前后端都是单独部署的，前端服务和后端服务都会监听属于自己的端口号，所有很容易产生跨域的问题。当前端端不同源的时候，而前端的服务又需要去访问和他不同源的后端的接口，自然就产生了跨域的问题，所以在前后端分离的项目中，跨域问题是我们永远都绕不开的。

7.3 如何解决？

既然已经阐述了跨域问题，那我们应该如何解决呢？其实解决的方案还是不少的，我们列举几种常见的方法。

1. JSONP:

JSONP 是服务器与客户端跨源通信的常用方法。最大特点就是简单适用，兼容性好（兼容低版本IE），缺点是只支持get请求，不支持post请求。

核心思想：网页通过添加一个

这种方式是前端的实现，其实和后端关系不大。并且用的也不多。

2. Nginx 反向代理

使用 nginx 反向代理实现跨域，是最简单的跨域方式。只需要修改 nginx 的配置即可解决跨域问题，支持所有浏览器，支持 session，不需要修改任何代码，并且不会影响服务器性能。

我们只需要配置nginx，在一个服务器上配置多个前缀来转发http/https请求到多个真实的服务器即可。这样，这个服务器上所有url都是相同的域名、协议和端口。因此，对于浏览器来说，这些url都是同源的，没有跨域限制。而实际上，这些url实际上由物理服务器提供服务。这些服务器内的 javascript可以跨域调用所有这些服务器上的url。

3. webpack本地代理

这个也是前端的一种实现，通过webpack技术，就可以将服务端进行反向代理，相当于前端模拟了nginx的功能，将后端的接口反代成一个同源的地址

4. CORS

CORS 是跨域资源分享（Cross-Origin Resource Sharing）的缩写。它是 W3C 标准，属于跨源 AJAX 请求的根本解决方法。

1、普通跨域请求：只需服务器端设置Access-Control-Allow-Origin

2、带cookie跨域请求：前后端都需要进行设置

服务器端对于CORS的支持，主要是通过设置Access-Control-Allow-Origin来进行的。如果浏览器检测到相应的设置，就可以允许Ajax进行跨域的访问。

我们重点讲解下springBoot如何通过设置CORS 来解决跨域问题。

7.4 解决方案

解决方案很简单，其实就是利用了我们昨天拦截器用到的那个配置类，在里面加一些代码即可。

java复制代码@Configuration
public class WebMvcConfig implements WebMvcConfigurer {// 昨天的拦截器注册@Overridepublic void addInterceptors(InterceptorRegistry registry) {//拦截registry.addInterceptor(new TokenInterceptor())// 对所有请求进行拦截.addPathPatterns("/**")// 排除 login请求.excludePathPatterns("/login");}//解决跨域问题@Beanpublic CorsFilter corsFilter() {UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();source.registerCorsConfiguration("/**", buildConfig());return new CorsFilter(source);}private CorsConfiguration buildConfig() {CorsConfiguration corsConfiguration = new CorsConfiguration();corsConfiguration.addAllowedOrigin("*");corsConfiguration.setAllowCredentials(true);corsConfiguration.addAllowedHeader("*");corsConfiguration.addAllowedMethod("*");return corsConfiguration;}
}

只需要按照上面的代码配置一下就行了，相当与设置允许所有。

除了这种方法，也可以通过Filter来实现。这个也给一下实现吧，和上面的方法任选其一。

java复制代码import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** 自定义拦截器** @author lvhuimin* @version 2019/12/21*/
@Order(1)
@Component
@WebFilter(urlPatterns = "/*", filterName = "cooCorsFilter")
public class CooCorsFilter implements Filter {String ORIGIN = "Origin";@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;HttpServletResponse httpResponse = (HttpServletResponse) response;String origin = httpRequest.getHeader(ORIGIN);httpResponse.setCharacterEncoding("UTF-8");httpResponse.setContentType("application/json; charset=utf-8");httpResponse.setHeader("Access-Control-Allow-Origin", origin);httpResponse.setHeader("Access-Control-Allow-Credentials", "true");httpResponse.setHeader("Access-Control-Allow-Methods", "*");// 如果允许所有header,就用*httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type,Authorization,token,userId,sysCode,requestSourceType");httpResponse.setHeader("Access-Control-Expose-Headers", "*");filterChain.doFilter(httpRequest, httpResponse);}@Overridepublic void destroy() {}}