后端老司機的跨域之旅

跨域

，對后端工程師來說，可謂既熟悉又陌生。

這兩個月我以架構師的角色參與一款教育產品的孵化，有了一段難忘的跨域之旅。

寫這篇文章，我想分享我在跨域這個知識點的經歷和思考，希望對大家有所啟發。

1 遇見跨域

產品有多端：機構端，局方端 ，家長端等 。每端都有獨立的域名，有的是在PC上訪問，有的是通過微信公眾號來訪問，有的是掃碼后H5展現。

接入層調用的接口域名統一使用 api.training.com這個獨立的域名，通過Nginx來配置請求轉發。

通常，我們提到的跨域指：CORS。

CORS是一個W3C標準，全稱是"跨域資源共享"（Cross-origin resource sharing）, 它需要瀏覽器和服務器同時支持他，允許瀏覽器向跨源服務器發送XMLHttpRequest請求，從而克服 AJAX 只能同源使用的限制。

那么如何定義同源呢？我們先看下一個典型的網站的地址：

同源是指：協議、域名、端口號完全相同。

下表給出了與 URL http://www.training.com/dir/page.html 的源進行對比的示例:

當用戶通過瀏覽器訪問應用（http://admin.training.com）時，調用接口的域名非同源域名(http://api.training.com)，這是顯而易見的跨域場景。

2 CORS詳解

跨域資源共享標準新增了一組 HTTP 首部字段，允許服務器聲明哪些源站通過瀏覽器有權限訪問哪些資源。

規范要求，對那些可能對服務器數據產生副作用的 HTTP 請求方法（特別是 GET 以外的 HTTP 請求，或者搭配某些 MIME 類型的 POST 請求），瀏覽器必須首先使用 OPTIONS 方法發起一個預檢請求（preflight request），從而獲知服務端是否允許該跨域請求。

服務器確認允許之后，才發起實際的 HTTP 請求。在預檢請求的返回中，服務器端也可以通知客戶端，是否需要攜帶身份憑證（包括 Cookies 和 HTTP 認證相關數據）。

2.1 簡單請求

當請求同時滿足如下條件時，CORS驗證機制會使用簡單請求， 否則CORS驗證機制會使用預檢請求。

使用GET、POST、HEAD其中一種方法；

只使用了如下的安全首部字段，不得人為設置其他首部字段；

Accept

Accept-Language

Content-Language

Content-Type 僅限三種之一：text/plain，multipart/form-data，application/x-www-form-urlencoded：

HTML頭部 header field字段：DPR、Download、Save-Data、Viewport-Width、WIdth

請求中的任意 XMLHttpRequestUpload 對象均沒有注冊任何事件-；XMLHttpRequestUpload 對象可以使用 XMLHttpRequest.upload 屬性訪問；

請求中沒有使用 ReadableStream 對象。

簡單請求模式，瀏覽器直接發送跨域請求，并在請求頭中攜帶Origin的頭，表明這是一個跨域的請求。 服務器端接到請求后，會根據自己的跨域規則，通過Access-Control-Allow-Origin和Access-Control-Allow-Methods響應頭，來返回驗證結果。

應答中攜帶了跨域頭 Access-Control-Allow-Origin。使用 Origin 和 Access-Control-Allow-Origin 就能完成最簡單的訪問控制。本例中，服務端返回的 Access-Control-Allow-Origin: * 表明，該資源可以被任意外域訪問。如果服務端僅允許來自 http://admin.training.com 的訪問，該首部字段的內容如下：

Access-Control-Allow-Origin: http://admin.training.com

現在，除了 http://admin.training.com，其它外域均不能訪問該資源。

2.2 預檢請求

瀏覽器在發現頁面發出的請求非簡單請求，并不會立即執行對應的請求代碼，而是會觸發預先請求模式。預先請求模式會先發送preflight request（預先驗證請求），preflight request是一個OPTION請求，用于詢問要被跨域訪問的服務器，是否允許當前域名下的頁面發送跨域的請求。在得到服務器的跨域授權后才能發送真正的HTTP請求。

OPTIONS請求頭部中會包含以下頭部：

服務器收到OPTIONS請求后，設置頭部與瀏覽器溝通來判斷是否允許這個請求。

如果preflight request驗證通過，瀏覽器才會發送真正的跨域請求。

3 后端配置

后端配置我嘗試過兩種方式，經過兩個月的測試，都能非常穩定的運行。

MND推薦的Nginx配置；

SpringBoot自帶CorsFilter配置。

▍MND推薦的Nginx配置

Nginx配置相當于在請求轉發層配置。

location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; # # Custom headers and headers various browsers *should* be OK with but aren't # add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; # # Tell client that this pre-flight info is valid for 20 days # add_header 'Access-Control-Max-Age' 1728000; add_header 'Content-Type' 'text/plain; charset=utf-8'; add_header 'Content-Length' 0; return 204; } if ($request_method = 'POST') { add_header 'Access-Control-Allow-Origin' '*' always; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always; } if ($request_method = 'GET') { add_header 'Access-Control-Allow-Origin' '*' always; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always; add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always; } }

在配置Access-Control-Allow-Headers屬性的時候，因為自定義的header包含簽名和token，數量較多。為了簡潔方便，我把Access-Control-Allow-Headers配置成 * 。

在Chrome和firefox下沒有任何異常，但在IE11下報了如下的錯：

Access-Control-Allow-Headers 列表中不存在請求標頭 content-type。

原來IE11要求預檢請求返回的Access-Control-Allow-Headers的值必須以逗號分隔。

▍SpringBoot自帶CorsFilter

首先基礎框架里默認有如下跨域配置。

public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE") .allowCredentials(true) .allowedHeaders("*") .maxAge(3600); }

可是部署完成，進入還是報CORS異常：

從nginx和tomcat日志來看，僅僅收到一個OPTION請求，springboot應用里有一個-ActionInterceptor，從header中獲取token，調用用戶服務查詢用戶信息，放入request中。當沒有獲取token數據時，會返回給前端JSON格式數據。

但從現象來看CorsMapping并沒有生效。

為什么呢？實際上還是執行順序的概念。下圖展示了 過濾器，-，控制器的執行順序。

DispatchServlet.doDispatch()方法是SpringMVC的核心入口方法。

// Determine handler for the current request. mappedHandler = getHandler(processedRequest); if (!mappedHandler.applyPreHandle(processedRequest, response)) { return; } // Actually invoke the handler. mv = ha.handle(processedRequest, response, mappedHandler.getHandler());

那么CorsMapping在哪里初始化的呢？經過調試，定位于AbstractHandlerMapping。

protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, CorsConfiguration config) { if (CorsUtils.isPreFlightRequest(request)) { HandlerInterceptor[] interceptors = chain.getInterceptors(); chain = new HandlerExecutionChain(new PreFlightHandler(config), interceptors); } else { chain.addInterceptor(new CorsInterceptor(config)); } return chain; }

代碼里有預檢判斷，通過PreFlightHandler.handleRequest()中處理，但是處于正常的業務-之后。

最終選擇CorsFilter 主要基于兩點原因：

過濾器的執行順序優先級最高；

通過調試CorsFilter的源碼，發現源碼有很多細節的處理。

private CorsConfiguration corsConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.addAllowedHeader("*"); corsConfiguration.addAllowedMethod("*"); corsConfiguration.setAllowCredentials(true); corsConfiguration.setMaxAge(3600L); return corsConfiguration; } @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", corsConfig()); return new CorsFilter(source); }

下面的代碼里，allowHeader是通配符 * 的時候，CorsFilter在設置 Access-Control-Allow-Headers 的時候，會將 Access-Control-Request-Headers 以逗號拼接起來，這樣就可以避免IE11響應頭的問題。

public List checkHeaders(@Nullable List requestHeaders) { if (requestHeaders == null) { return null; } if (requestHeaders.isEmpty()) { return Collections.emptyList(); } if (ObjectUtils.isEmpty(this.allowedHeaders)) { return null; } boolean allowAnyHeader = this.allowedHeaders.contains(ALL); List result = new ArrayList<>(requestHeaders.size()); for (String requestHeader : requestHeaders) { if (StringUtils.hasText(requestHeader)) { requestHeader = requestHeader.trim(); if (allowAnyHeader) { result.add(requestHeader); } else { for (String allowedHeader : this.allowedHeaders) { if (requestHeader.equalsIgnoreCase(allowedHeader)) { result.add(requestHeader); break; } } } } } return (result.isEmpty() ? null : result); }

瀏覽器的執行效果如下:

4 preflight響應碼：200 vs 204

后端配置完成之后，團隊里的小伙伴問我：“勇哥，那預檢請求返回的響應碼到底是200還是204呀？”。這個問題真把我給問住了。

我司的API網關的預檢響應碼是200，CorsFilter預檢響應碼也是200。

MDN給的示例預檢響應碼全部是204。

https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS

我只能采取Google大法，赫然發現大名鼎鼎的API網關Kong的開發者也針對這個問題有一番討論。

MDN曾經推薦的preflight響應碼是200 ，所以Kong也和MDN同步成200；

The page was updated since then. See its contents on Sept 30th, 2018:

https://web.archive.org/web/20180930031917/https://developer.mozilla.org/en-US/docs/Glossary/Preflight_request

后來MDN將響應碼修改204，于是Kong的開發者爭論要不要和MDN保持同步。

爭論的核心點在于：有沒有迫切的必要。200響應碼運行得很好，似乎也將永遠正常運行下去。而更換成204，不確定是否有隱藏問題。

說到底，框架開發者還是依賴于瀏覽器的底層實現。在這個問題上，沒有足夠權威的資料能夠支撐框架開發者，而各個知識點都散落在網絡的各個角落，充斥著不完整的細節和部分解決方案，這些都讓框架開發者非常困惑。

最后，Kong的源碼里預檢響應碼仍然是200，并沒有和MDN保持同步。

我仔細查看了各大主流網站，95%預檢響應碼是200。而經過兩個多月的測試，Nginx配置預檢響應碼204，在主流的瀏覽器Chrome , Firefox , IE11 也沒有出現任何問題。

所以，200 works everywhere , 而204在當前主流的瀏覽器里也得到非常好的支持。

5 Chrome: 非安全私有網絡

本以為跨域問題就這樣解決了。沒想到還是有一個小插曲。

產品總監需要給客戶做演示，我負責搞定演示環境。申請域名，準備阿里云服務器，應用打包，部署，一切都很順利。

可是在公司內網訪問演示環境，有一個頁面一直報CORS報錯，報錯內容類似下圖：

跨域的錯誤類型是：

InsecurePrivateNetwork

。

這和原來遇到的跨域錯誤完全不一樣，我心里一慌。馬上Google , 原來這是chrome更新到94之后新的特性，可以手工關閉這個特性。

打開 tab 頁面 chrome://flags/#block-insecure-private-network-requests

將其 Block insecure private network requests 設置為 Disabled, 然后重啟就行了， 這樣子就相當于把這個功能禁用掉。

但這樣是治標不治本呀。有點詭異的是，當我們不在公司內網訪問演示環境的時候，演示環境完全正常，出錯的頁面也能正常訪問。

仔細看官方的文檔，CORS-RFC1918 指出如下三種請求會受影響。

公共網絡訪問私有網絡；

公共網絡訪問本地設備；

私有網絡訪問本地設備。

這樣，我把問題定位在這個出錯的第三方接口地址上。公司很多產品都依賴這個接口服務。當在公司內網訪問的時候，該域名映射地址類似：172.16.xx.xx。

而這個ip正好是rfc1918上規定的私有網絡。

10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

內網通過Chrome訪問這個頁面的時候，會觸發非安全私有網絡攔截。

如何解決呢？官方給出的方案分兩步走：

私有網絡只能通過Https來訪問；

未來，添加特定的預檢頭，比如說：Access-Control-Request-Private-Network等。

當然還有一些臨時方法：

關閉Chrome該特性;

換用其他瀏覽器比如Firefox;

關閉網絡內網開手機熱點;

修改本地host綁定外網ip。

基于官方的方案 ，生產環境完全使用Https，公司內網訪問就沒有出現這樣的跨域問題了。

6 復盤

API網關非常適合當前產品的架構。架構設計之初，系統多端都會調用我司的API網關。API網關可以SAAS部署和私有化部署，有單獨的域名，提供完善的簽名算法。考慮到上線時間節點，團隊成員對于API網關的熟悉程度以及多套環境部署投入時間成本，為了盡快交付，從架構層面，我做了一些平衡和妥協。

接入層調用的接口域名統一使用 api.training.com這個獨立的域名，通過Nginx來配置請求轉發。同時，我和前端Leader統一了前后端協議，保持和我司API網關一致，為后續切回API網關做前置準備。

API網關可以做鑒權，限流，灰度等，同時可以配置CORS。內部服務端不用特別關注跨域這個問題。

同時，在解決跨域的問題過程中，我的心態也發生了變化。從最初的輕視，到逐漸沉下心來，一步步理解CORS的原理，分清楚不同解決方案的優缺點，事情也就慢慢順遂起來。 我也觀察到：”有的項目組已經反饋過Chrome非安全私有網絡問題，并給出了解決方案。對于技術管理者來講，一定要重視項目中反饋的問題，做好梳理分析，整理預案。這樣當同類問題出現時，也會條理有序“。

7 寫到最后

2017年，我參加左耳朵耗子陳皓老師技術演講，他給我們講了一個故事。

故事的大概是：“公司軟件出現莫名BUG，用戶的費用扣了，但調用第三方接口的時候經常出現網絡問題。公司當時最厲害的人查了一周也沒有解決，而陳皓老師正在看《TCP/IP 詳解》這本書， netstat 一看，連接的狀態是 CLOSE_WAIT ，意思是對方斷開了連接，大概率估計是對方系統的問題。于是他去了對方那邊幫他們看了一下代碼，果然是判斷條件出了問題，導致應用直接斷開了鏈接。而這個問題只花了不到兩個小時就解決了”。

當我想起陳皓老師的這個故事，回顧自己的跨域之旅，我深深的覺得細節是魔鬼，而解決問題也許就在某個不經意的細節里。

如果我的文章對你有所幫助，還請幫忙、在看、轉發一下，你的支持會激勵我輸出更高質量的文章，非常感謝！

API HTTP 網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。