5 跨域问题
浏览器出于安全的考虑,使用XMLHttpRequest对象发起HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。
前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。
本身springboot就自带了解决跨域问题的方法,但是光用springboot的那一套显然是不够用的,我们现在的资源请求都是交给spring security帮助我们进行管理、保护。这个过程中,访问资源还需要经过spring security这一关,如果spring security是不允许跨域的,那还是不能访问资源。
所以我们就要处理一下,让前端能进行跨域请求。
①先对SpringBoot配置,允许跨域请求
package config;
import ...
@Configuration
public class CorsConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
//设置允许跨域的路径
registry.addMapping("/**")
//设置允许跨域请求的域名
.allowedoriginPatterns("*")
//是否允许cookie
.allowCredentials(true)
//设置允许的请求方式
.allowedMethods("GET","POST","DELETE","PUT")
// 设置允许的header属性
.allowedHeaders("*")
//跨域允许时间
.maxAge(3600);
}
}
②开启SpringSecurity的跨域访问
由于我们的资源都会收到Spring Security的保护,所以想要跨域访问还要让Spring Security运行跨域访问。
实际上就是在我们spring security的配置类中,configure方法中允许跨域。
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Overrride
protected void configure(HttpSecurity http) throws Exception {
//之前的代码
...
//允许跨域
http.cors();
}
}
有的朋友可能会发现浏览器发送了两次数据请求给后端,实际上第一次是options请求,用于跨域时与服务端协商,不产生实际数据调用;专业的说法叫 预检请求,如果一个请求时非简单请求,会提前发送一个OPTIONS的预检请求,来决定是否发送真实请求,可以去看看HTTP CORS规则文档。
评论