4.6 CORS支持
CORS(Cross-Origin Resource Sharing)是由W3C制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。在Java EE开发中,最常见的前端跨域请求解决方案是JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法。以CORS中的GET请求为例,当浏览器发起请求时,请求头中携带了如下信息:
假如服务端支持CORS,则服务端给出的响应信息如下:
注意
响应头中有一个Access-Control-Allow-Origin字段,用来记录可以访问该资源的域。当浏览器收到这样的响应头信息之后,提取出Access-Control-Allow-Origin字段中的值,发现该值包含当前页面所在的域,就知道这个跨域是被允许的,因此就不再对前端的跨域请求进行限制。这就是GET请求的整个跨域流程,在这个过程中,前端请求的代码不需要修改,主要是后端进行处理。这个流程主要是针对GET、POST以及HEAD请求,并且没有自定义请求头,如果用户发起一个DELETE请求、PUT请求或者自定义了请求头,流程就会稍微复杂一些。
以DELETE请求为例,当前端发起一个DELETE请求时,这个请求的处理会经过两个步骤。
第一步:发送一个OPTIONS请求。代码如下:
这个请求将向服务端询问是否具备该资源的DELETE权限,服务端会给浏览器一个响应,代码如下:
服务端给浏览器的响应,Allow头信息表示服务端支持的请求方法,这个请求相当于一个探测请求,当浏览器分析了请求头字段之后,知道服务端支持本次请求,则进入第二步。
第二步:发送DELETE请求。接下来浏览器就会发送一个跨域的DELETE请求,代码如下:
服务端给一个响应:
至此,一个跨域的DELETE请求完成。
无论是简单请求还是需要先进行探测的请求,前端的写法都是不变的,额外的处理都是在服务端来完成的。在传统的Java EE开发中,可以通过过滤器统一配置,而Spring Boot中对此则提供了更加简洁的解决方案。在Spring Boot中配置CORS的步骤如下:
1. 创建Spring Boot工程
首先创建一个Spring Boot工程,添加Web依赖,代码如下:
2. 创建控制器
在新创建的Spring Boot工程中,添加一个BookController控制器,代码如下:
BookController中提供了两个接口:一个是添加接口,另一个是删除接口。
3. 配置跨域
跨域有两个地方可以配置。一个是直接在相应的请求方法上加注解:
代码解释:
• @CrossOrigin中的value表示支持的域,这里表示来自http://localhost:8081域的请求是支持跨域的。
• maxAge表示探测请求的有效期,在前面的讲解中,读者已经了解到对于DELETE、PUT请求或者有自定义头信息的请求,在执行过程中会先发送探测请求,探测请求不用每次都发送,可以配置一个有效期,有效期过了之后才会发送探测请求。这个属性默认是1800秒,即30分钟。
• allowedHeaders表示允许的请求头,*表示所有的请求头都被允许。
这种配置方式是一种细粒度的配置,可以控制到每一个方法上。当然,也可以不在每个方法上添加@CrossOrigin注解,而是采用一种全局配置,代码如下:
代码解释:
• 全局配置需要自定义类实现WebMvcConfigurer接口,然后实现接口中的addCorsMappings方法。
• 在addCorsMappings方法中,addMapping表示对哪种格式的请求路径进行跨域处理;allowedHeaders表示允许的请求头,默认允许所有的请求头信息;allowedMethods表示允许的请求方法,默认是GET、POST和HEAD;*表示支持所有的请求方法;maxAge表示探测请求的有效期;allowedOrigins表示支持的域。
在上面的两种配置方式(@CrossOrigin注解配置和全局配置)中,选择其中一种即可,然后启动项目。
4. 测试
新建一个Spring Boot项目,添加Web依赖,然后在resources/static目录下加入jquery.js,再在resources/static目录下创建一个index.html文件,内容如下:
两个普通的Ajax都发送了一个跨域请求。
然后将项目的端口修改为8081,代码如下:
启动项目,在浏览器中输入“http://localhost:8081/index.html”,查看页面,然后分别单击两个按钮,查看请求结果,如图4-24所示。
图4-24