Wie Springboot das domänenübergreifende Anforderungsproblem von benutzerdefinierten Ajax-Headern löst

1. Was ist domänenübergreifend? Aufgrund der Same-Origin-Richtlinie des Browsers handelt es sich um eine bekannte Sicherheitsrichtlinie, die von Netscape vorgeschlagen wird -genannt gleicher Ursprung ist Bezieht sich auf die Tatsache, dass der Domänenname, der Domänenname und der Port, die zum Senden der Anforderungs-URL verwendet werden, von der aktuellen Seitenadresse abweichen gilt als domänenübergreifend.

Sie können die folgende Tabelle für Details überprüfen:

2. Wie Springboot domänenübergreifende Probleme löst

1. Gewöhnliche domänenübergreifende Anforderungslösung:

①Anmerkung hinzufügen @CrossOrigin(origins = " http zur Anforderungsschnittstelle ://127.0.0.1:8020, maxAge = 3600)

Erläuterung: origins = „http://127.0.0.1:8020“ Der Ursprungswert ist die Domäne, die derzeit die Schnittstelle anfordert

②Allgemeine Konfiguration (Alle Schnittstellen sind zulässig. Domänenübergreifende Anforderung)

Fügen Sie eine neue Konfigurationsklasse hinzu oder fügen Sie CorsFilter- und CorsConfiguration-Methoden in der Anwendung hinzu.

@Configuration 
public class CorsConfig { 
  private CorsConfiguration buildConfig() { 
    CorsConfiguration corsConfiguration = new CorsConfiguration(); 
    corsConfiguration.addAllowedOrigin("*"); // 1允许任何域名使用
    corsConfiguration.addAllowedHeader("*"); // 2允许任何头
    corsConfiguration.addAllowedMethod("*"); // 3允许任何方法（post、get等） 
    return corsConfiguration; 
  } 

  @Bean 
  public CorsFilter corsFilter() { 
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); 
    source.registerCorsConfiguration("/**", buildConfig()); // 4 
    return new CorsFilter(source); 
  } 
}

2. Domänenübergreifende Anforderung von benutzerdefinierten Ajax-Headern.

$.ajax({
    type:"GET",
    url:"http://localhost:8766/main/currency/sginInState",
    dataType:"JSON",
    data:{
      uid:userId
    },
    beforeSend: function (XMLHttpRequest) {
      XMLHttpRequest.setRequestHeader("Authorization", access_token);
    },
    success:function(res){
      console.log(res.code)
    }
  })

Anfrage http://localhost :8766/ Die Schnittstelle „main/currency/sginInState“ hat einen OPTIONS-Fehler „http://localhost:8766/main/currency/sginInState 500“ gefunden. Gewöhnliche domänenübergreifende Lösungen können dieses Problem nicht lösen.

Grund

Der Browser sendet eine Preflight-Anfrage mit der Methode OPTIONS, bevor er die eigentliche Anfrage sendet. Diese Anfrage wird verwendet, um zu überprüfen, ob diese Anfrage sicher ist, aber nicht alle Anfragen senden Folgendes Bedingungen müssen erfüllt sein:

•Die Anfragemethode ist nicht GET/HEAD/POST

•Der Inhaltstyp der POST-Anfrage ist nicht application/x-www-form-urlencoded, multipart/form-data oder text/ schlicht• Die Anfrage legt ein benutzerdefiniertes Header-Feld fest

Für die Verwaltungsschnittstelle habe ich eine Berechtigungsüberprüfung für die Schnittstelle durchgeführt. Jede Anfrage muss ein benutzerdefiniertes Feld (Token) im Header enthalten, sodass der Browser zusätzliche OPTIONEN sendet Anfrage. Überprüfen Sie die Sicherheit dieser Anfrage.

Warum ist die OPTIONEN-Anfrage 500? Die

OPTIONS-Anfrage überträgt nur benutzerdefinierte Felder und bringt nicht die entsprechenden Werte ein. Wenn das Tokenfeld im Hintergrund überprüft wird, ist das Token NULL, sodass die Überprüfung fehlschlägt und eine Ausnahme ausgelöst wird.

So lösen wir dieses Problem jetzt:

① Fügen Sie

spring:mvc:dispatch-options-request: true

Hinweis: Diese Lösung ist im Spring-Boot-Projekt application.yml möglich In einigen Fällen kann das OPTIONS-Problem nicht gelöst werden. Der Grund hierfür können Umgebungsprobleme oder komplexe benutzerdefinierte Filterkonfigurationsprobleme sein.

②Filterkonfiguration hinzufügen

Schritt 1: Handschriftliche Anforderungsfilterkonfigurationsklasse „RequestFilter“ Diese Klasse muss die HandlerInterceptor-Klasse implementieren, die sich unter org.springframework.web.servlet.HandlerInterceptor befindet.

Spezifische Code-Implementierung:

@Component
public class RequestFilter implements HandlerInterceptor {
  public boolean preHandler(HttpServletRequest request,HttpServletResponse response,Object handler){
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS");
    response.setHeader("Access-Control-Max-Age", "86400");
    response.setHeader("Access-Control-Allow-Headers", "Authorization");
    // 如果是OPTIONS请求则结束
    if (HttpMethod.OPTIONS.toString().equals(request.getMethod())) {
      response.setStatus(HttpStatus.NO_CONTENT.value());
      return false;
    }
    return true;
  }
}

Schritt 2: Handschrift MyWebConfiguration Diese Klasse muss WebMvcConfigurationSupport erben.

Hinweis: WebMvcConfigurationSupport ist Version 2.x oder höher und Version 1.x ist WebMvcConfigurerAdapter.

Spezifische Code-Implementierung:

@Component
public class MyWebConfiguration extends WebMvcConfigurationSupport{
  @Resource
  private RequestFilter requestFilter;
  @Override
  public void addInterceptors(InterceptorRegistry registry) {
    // 跨域拦截器
    registry.addInterceptor(requestFilter).addPathPatterns("/**");
  }
}

Das obige ist der detaillierte Inhalt vonWie Springboot das domänenübergreifende Anforderungsproblem von benutzerdefinierten Ajax-Headern löst. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!