一、什么是跨域
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对 javascript 施加的安全限制。 同源策略,指的是协议,域名,端口都要相同,其中有一个不同都会产生跨域。 跨域相关含义:
-
Access-Control-Allow-Origin:服务器允许请求的源;
-
Access-Control-Allow-Headers: 服务器允许使用的头;
-
Access-Control-Allow-Methods: 真实请求允许的方法;
-
Access-Control-Allow-Credentials: 是否允许用户发送、处理 cookie;
-
Access-Control-Max-Age: 预检请求的有效期,单位为秒。有效期内,不会重复发送预检请求;
二、java微服务解决跨域
Java微服务中解决跨域问题主要分为如下情况:
-
情况1:针对单个服务的跨域问题,增加允许跨域配置类即可。 如,前端vue+业务微服务
-
情况2:有网关时,网关配置允许跨域,微服务不配置。微服务项目网关服务为Spring Cloud Gateway,则要求所有请求统一走网关,无需给每个微服务都配置跨域,只需要给网关微服务gateway配置跨域即可。 如,前端vue+网关服务gateway+业务微服务
-
情况3:有网关时,网关配置允许跨域,微服务配置允许跨域。需要在网关的配置里加上重复请求头。配置
DedupeResponseHeader=Vary Access-Control-Allow-Origin Access-Control-Allow-Credentials, RETAIN_UNIQUE。此时走不走网关,都没有跨域问题。 如,前端vue+网关服务gateway+业务微服务/认证授权微服务 -
情况4:网关不配置,微服务配置允许跨域。请求如果走网关,则会存在跨域问题。不走网关,直接访问微服务,没有跨域问题。
-
情况5:网关不配置,微服务不配置。走不走网关都会存在跨域问题。
情况1 单个springboot微服务的跨域配置如下 若springboot版本为2.4.0以前,则设置请求源为
corsConfiguration.addAllowedOrigin(“*”);
若springboot版本为2.4.0以后,则设置请求源为
corsConfiguration.setAllowedOriginPatterns(Collections.singletonList(“*”));
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
// 跨域配置源
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
//设置跨域的配置信息
CorsConfiguration corsConfiguration = new CorsConfiguration();
//1,允许任何来源
corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*"));
//2,允许任何请求头
corsConfiguration.addAllowedHeader(CorsConfiguration.ALL);
//3,允许任何方法
corsConfiguration.addAllowedMethod(CorsConfiguration.ALL);
//4,允许凭证
corsConfiguration.setAllowCredentials(true);
source.registerCorsConfiguration("/**", corsConfiguration);
return new CorsFilter(source);
}
}其中,若在springboot2.3.10版本中使用corsConfiguration.addAllowedOrigin(“*”);是可以解决跨域问题的,若在springboot2.7.0版本中使用,会发现报跨域问题,查看后台日志提示如下异常:
When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the “Access-Control-Allow-Origin” response header. To allow credentials to a set of origins, list them explicitly or consider using “allowedOriginPatterns” instead.
可见,不能在 corsConfiguration.setAllowCredentials(true)的时候对addAllowedOrigin设置为"*",而要使用 allowedOriginPatterns这个字段来设置origin。 其实,也可以采用重写WebMvcConfigurer的方式或使用注解@CrossOrigin的方式。
情况2 gateway网关服务中跨域配置类如下 若springboot版本为2.4.0以前,则设置请求源为
corsConfiguration.addAllowedOrigin(“*”);
若springboot版本为2.4.0以后,则设置请求源为
corsConfiguration.setAllowedOriginPatterns(Collections.singletonList(“*”));
@Configuration
public class CorsConfig {
@Bean
public CorsWebFilter corsFilter() {
// 跨域配置源
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
//设置跨域的配置信息
CorsConfiguration corsConfiguration = new CorsConfiguration();
// 允许所有请求来源进行跨域
//corsConfiguration.addAllowedOrigin("*");
// spring boot2.4以后的配置
corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*"));
// 允许所有头进行跨域
corsConfiguration.addAllowedHeader("*");
// 允许所有请求方式进行跨域
corsConfiguration.addAllowedMethod("*");
// 允许携带cookie进行跨域
corsConfiguration.setAllowCredentials(true);
//任意路径都需要跨域配置
source.registerCorsConfiguration("/**", corsConfiguration);
return new CorsWebFilter(source);
}
}注:需要去掉业务微服务的跨域配置,防止多次跨域配置。 其实,也可以采用在gateway网关服务的application.yml文件中配置的方式,如:
spring:
cloud:
gateway:
# 全局的跨域配置
globalcors:
# 解决options请求被拦截问题
add-to-simple-url-handler-mapping: true
cors-configurations:
# 拦截的请求
'[/**]':
# 允许跨域的请求
#allowedOrigins: "*" # spring boot2.4以前的配置
allowedOriginPatterns: "*" # spring boot2.4以后的配置
# 允许请求中携带的头信息
allowedHeaders: "*"
# 运行跨域的请求方式
allowedMethods: "*"
# 是否允许携带cookie
alloweCredentials: true
# 跨域检测的有效期,单位s
maxAge: 36000不要出现重复解决跨域问题,若之前用过注解@CrossOrigin,然后又添加了过滤器,就会导致重复,仅用过滤器就OK了。
情况3 当gateway网关服务设置了跨域,业务微服务也设置了跨域,则需要在网关的配置里加上重复请求头,
spring:
cloud:
gateway:
globalcors:
default-filters:
- DedupeResponseHeader=Vary Access-Control-Allow-Origin Access-Control-Allow-Headers Access-Control-Allow-Credentials,RETAIN_UNIQUE标签:网关,跨域,corsConfiguration,SpringCloud,配置,Access,版本,请求 From: https://blog.csdn.net/weagou/article/details/132446685