跨域与CORS

1. 跨域问题、同源请求和跨域请求

简单来说，就是前台调用后台接口的时候，由于『浏览器』的同源策略（Same-origin Policy）过于严格，如果这个接口不是同一个域的，就会产生跨域问题。

所谓同源是指：域名、协议、端口相同。

如果发出去的请求不是本域的『协议、域名、端口』，任何一个不一样，浏览器就认为是跨域的。

URL	说明	是否跨域
http://www.a.com/a.js http://www.a.com/b.js	同一域名	没有跨域
http://www.a.com/a/a.js http://www.a.com/b/b.js	同一域名下的不同文件夹	没有跨域
http://www.a.com/a.js http://www.a.com:8080/b.js	端口不同	跨域
http://www.a.com/a.js https://www.a.com/b.js	协议不同	跨域
http://www.a.com/a.js http://70.32.97.74/b.js	域名和域名的 IP	跨域
http://www.a.com/a.js http://xxx.a.com/a.js http://yyy.a.com/b.js	二级域名不同	跨域（此时，cookie 也不会共享）
http://www.a.com/a.js http://www.b.com/b.js	域名不同	跨域

需要注意的是：发送的是 XHR（XMLHTTPRequest）请求才会产生跨域问题。如果发出去的请求不是 XHR 请求的话，即使跨域，浏览器也不会报错。

2. CORS 之前的跨域问题的解决办法

• 方案一：关闭浏览器的跨域限制功能

  这是最简单粗暴，也是最不可能采用的方案。

• 方案二：JSONP（JSON with Padding）

  JSONP 方案是一个早期方案，也是一个非标准方案。不建议使用。

  它的解题思路是，既然只有发送的是 XHR（XMLHTTPRequest）请求才会有可能产生跨域问题（请求被浏览器拦截/阻止），那么我们就想办法『把 XHR 请求改为非 XHR 请求』。只要不是 XHR 请求，浏览器就不会报跨域预警，就会放行请求。

  由于该方案是一个早期的非标准方案，且存在若干缺点，因此慢慢被后续的 CORS 所取代。此处不作讲解。

3. 现行的标准的方案：CORS

CORS（Cross-origin resource sharing，跨域资源共享）是一个 W3C 标准，定义了在必须访问跨域资源时，浏览器与服务器应该如何沟通。

简单来说，就是浏览器『一刀切式地阻止一切跨域请求』过于的粗暴，因此，CORS 的方案就是『让服务器决定是否响应这个跨域请求』。服务器不响应，浏览器就阻止显示响应结果；服务器愿意响应，浏览器就放行，展示响应结果。

整个 CORS 通信过程，都是浏览器自动完成（基本上目前所有的浏览器都实现了 CORS 标准），不需要用户参与。对于开发者来说，CORS 通信与同源的 AJAX 通信没有差别，代码完全一样。浏览器一旦发现 AJAX 请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但整个过程用户不会有感觉。

浏览器首先会发起一个请求方法为 OPTIONS 的『预检请求』，用于询问/确认浏服务器是否允许跨域请求，只有在得到服务器的许可后才会发出实际请求。

4. Spring Boot 对 CORS 的支持

环境准备

首先是支持 RESTful 的 Controller，这里就不使用数据库了，简单一点。

• UserController

  @RestController
  public class UserController {
  
    /**
     * 查询用户列表
     */
    @GetMapping("/users")
    public Map<String, Object> getUserList() {
      Map<String, Object> map = new HashMap<>();
      List<User> userList = new ArrayList<>();
      userList.add(new User(1, "tommy", 20));
      userList.add(new User(2, "jerry", 19));
      map.put("result", userList);
      map.put("status", 200);
  
      return ResponseEntity.ok(map);
    }
  }
  

• User

  public class User {
    private int id;
    private String username;
    private int age;
  
    // getter / setter
  }
  

• 页面

  不是使用 IDEA 的用户，自己找个 tomcat 启动 test.html 页面，修改端口为其他，然后启动 springboot 。

  <!DOCTYPE html>
  <html lang="en"> 
    <head> 
      <meta charset="UTF-8"> 
      <title>Title</title> 
      <script src="https://cdn.bootcss.com/jquery/2.1.0/jquery.min.js"></script> 
      <script type="text/javascript">
        function crosRequest(){
          $.ajax({
            url:'http://localhost:8080/users',
            type: 'get',
            dataType: 'json',
            success: function(data){
              console.log(data);
            }
          });
        }
      </script> 
    </head> 
    <body> 
      <button onclick="crosRequest()">请求跨域资源</button> 
    </body> 
  </html>
  

CORS 配置方案一：@CrossOrigin 注解

在请求处理方法，或者是在 Controller 类上标注 @CrossOrigin 注解，表示本方法，或本类中的所有方法接收来自【远方】的跨域请求。

@CrossOrigin
@GetMapping(value = "/users")
public ResponseEntity<Map<String, Object>> getUserList() {
    ...
}

@CrossOrigin 注解的属性的默认值是：

"Access-Control-Allow-Origin" : "*"
"Access-Control-Allow-Methods" : "GET,POST,PUT,OPTIONS"
"Access-Control-Allow-Credentials" : "true"

如果有需要的话，你可以通过注解的属性进行手动指定。例如：

@CrossOrigin(
    origins = { "http://domain.com", "http://domain2.com", "http://localhost:63342" }, 
    methods = { RequestMethod.GET, RequestMethod.POST }, 
    allowCredentials = "true")

方案二：全局 CORS 配置

如果使用的是 Java 代码配置，那么可以在配置类中进行统一配置。

@Bean 
public WebMvcConfigurer corsConfigurer() {

  return new WebMvcConfigurer() {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/**")
        .allowedOrigins("http://domain.com", "http://domain2.com", "http://localhost:63342")
        .allowedMethods("GET", "POST", "DELETE", "PUT", "OPTIONS")
        .allowCredentials(false);
    }
  };

}

『完』