首頁 >Java >java教程 >Java實作CORS跨域請求的執行個體分析

Java實作CORS跨域請求的執行個體分析

黄舟
黄舟原創
2017-09-23 09:44:221564瀏覽

這篇文章主要介紹了Java實作CORS跨域請求的實作方法,小編覺得蠻不錯的,現在分享給大家,也給大家做個參考。一起跟著小編過來看看吧

問題

使用前後端分離模式開發專案時,往往會遇到這樣一個問題-- 無法跨域取得服務端資料

這是由於瀏覽器的同源策略導致的,目的是為了安全。在前後端分離開發模式備受青睞的今天,前端和後台專案往往會在不同的環境下進行開發,這時就會出現跨域請求資料的需求,目前的解決方案主要有以下幾種:

JSONP、iframe、代理模式、CORS等等
前面幾種方式在這裡不講,網路上有很多資料。這裡我主要分享一下CORS這種解決方式,CORS即“跨域資源共享”,它允許瀏覽器向跨源伺服器,發出XMLHttpRequest請求,從而克服了AJAX只能同源使用的限制。

使用CORS 跨域的時候和普通的ajax 過程是一樣的,只是瀏覽器在發現這是一個跨域請求的時候會自動幫我們處理一些事情,所以說只要服務端提供支持,前端是不需要做額外的事情的。

實作

實作的大概思路是這樣的,首先使用篩選器取得請求物件request的信息,例如Origin 欄位(表示請求來自哪個來源,包括協定、網域名稱、連接埠),透過預先配置的參數判斷請求是否合法,然後設定回應物件response的頭訊息,實現跨域資源請求。在介紹實作方式之前我們先來了解一下會用到的回應頭資訊。

回應頭

Access-Control-Allow-Methods
#用來列出瀏覽器的CORS請求允許使用的HTTP方法,如:GET、POST 、PUT、DELETE、OPTIONS

Access-Control-Allow-Credentials
表示是否支援跨域Cookie

Access-Control-Allow-Headers
#逗號分隔的字串,表示伺服器支援的所有頭資訊字段,如Content-Type以及自訂的字段

Access-Control-Expose-Headers
與「Access-Control-Allow-Headers」相反,表示不支援的頭資訊欄位

Access-Control-Allow-Origin
允許跨網域的請求來源信息,包括協定、網域、端口,為*表示允許所有請求來源,並且只能設定一個請求來源

下面介紹一下Java後台如何實作這種方式。

程式碼

由於最近在使用spring-boot,所以接下來以spring-boot為基礎來實作。

先建立一個CorsFilter過濾器,程式碼如下:


...
@WebFilter(filterName = "corsFilter", urlPatterns = "/*",
    initParams = {@WebInitParam(name = "allowOrigin", value = "*"),
        @WebInitParam(name = "allowMethods", value = "GET,POST,PUT,DELETE,OPTIONS"),
        @WebInitParam(name = "allowCredentials", value = "true"),
        @WebInitParam(name = "allowHeaders", value = "Content-Type,X-Token")})
public class CorsFilter implements Filter {

  private String allowOrigin;
  private String allowMethods;
  private String allowCredentials;
  private String allowHeaders;
  private String exposeHeaders;

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
    allowOrigin = filterConfig.getInitParameter("allowOrigin");
    allowMethods = filterConfig.getInitParameter("allowMethods");
    allowCredentials = filterConfig.getInitParameter("allowCredentials");
    allowHeaders = filterConfig.getInitParameter("allowHeaders");
    exposeHeaders = filterConfig.getInitParameter("exposeHeaders");
  }

  @Override
  public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    HttpServletResponse response = (HttpServletResponse) servletResponse;
    if (!StringUtils.isEmpty(allowOrigin)) {
      if(allowOrigin.equals("*")){
        response.setHeader("Access-Control-Allow-Origin", allowOrigin);
      }else{
        List<String> allowOriginList = Arrays.asList(allowOrigin.split(","));
        if (allowOriginList != null && allowOriginList.size() > 0) {
          String currentOrigin = request.getHeader("Origin");
          if (allowOriginList.contains(currentOrigin)) {
            response.setHeader("Access-Control-Allow-Origin", currentOrigin);
          }
        }
      }
    }
    if (!StringUtils.isEmpty(allowMethods)) {
      response.setHeader("Access-Control-Allow-Methods", allowMethods);
    }
    if (!StringUtils.isEmpty(allowCredentials)) {
      response.setHeader("Access-Control-Allow-Credentials", allowCredentials);
    }
    if (!StringUtils.isEmpty(allowHeaders)) {
      response.setHeader("Access-Control-Allow-Headers", allowHeaders);
    }
    if (!StringUtils.isEmpty(exposeHeaders)) {
      response.setHeader("Access-Control-Expose-Headers", exposeHeaders);
    }
    filterChain.doFilter(servletRequest, servletResponse);
  }

  @Override
  public void destroy() {

  }
}

大功告成,現在前端就可以跨域取得後台的資料了,比其它方式容易得多,程式碼就不解釋了,簡單易懂,使用其它後台開發方式也一樣,最終目的就是判斷請求,設定回應頭,前端什麼事都不用做。

以上是Java實作CORS跨域請求的執行個體分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn