跨域是指在浏览器中,当前网页向不同域名(或不同端口、不同协议)的接口发送请求时,浏览器会拦截这些请求,防止跨域攻击。为了解决跨域问题,需要在服务器端添加一些响应头信息,告诉浏览器允许跨域访问。
关于跨域有很多种解决方法,这里我使用过滤器来解决跨域的问题。我们使用了一个过滤器(CorsFilter)来处理跨域请求。在过滤器中,我们先通过request.getHeader("Origin")获取请求中的Origin头信息,即客户端的域名。然后将该域名添加到响应头的Access-Control-Allow-Origin字段中,告诉浏览器允许来自该域名的请求。
同时,我们还添加了Access-Control-Allow-Methods字段,指定了允许的请求方法,包括GET、HEAD、POST、PUT和DELETE。这样就可以满足大部分常见的请求方法。
最后,我们还添加了Access-Control-Allow-Headers字段,指定了允许的请求头。这个字段是可选的,根据实际情况确定需要允许的请求头。在这个示例中,我们允许了Authorization和Content-Type两个常见的请求头。
注意:我们的过滤器要在security过滤器链之前进行过滤,节省资源,所以order要小于Spring Security中的过滤器链的order,我这里是-101,Spring Security中的过滤器链默认是100,较低的值表示较高的优先级,较高的值表示较低的优先级。
通过以上的设置,我们就可以在服务器端解决跨域问题,允许来自指定域名的请求访问接口。
/**
* @author jinze
* @version 1.0
* @description: 跨域过滤器
* @date 2023/8/14 15:55
*/
@Component
@Order(Const.ORDER_CORS)
public class CorsFilter extends HttpFilter {
@Override
protected void doFilter(HttpServletRequest request,
HttpServletResponse response,
FilterChain chain) throws IOException, ServletException {
this.addCorsHeader(request, response); // 添加跨域头信息
chain.doFilter(request, response); // 继续处理请求
}
/**
* 添加跨域头信息
*/
private void addCorsHeader(HttpServletRequest request,
HttpServletResponse response) {
// 允许哪个域名进行跨域访问
response.addHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
// 允许的请求方法
response.addHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE");
// 允许的请求头
response.addHeader("Access-Control-Allow-Headers", "Authorization, Content-Type");
}
}
