CORS实现详解：Java Web中Servlet与JSP的跨域配置技巧

 # 1. CORS（跨源资源共享）基础概念解析 在现代Web开发中，CORS（Cross-Origin Resource Sharing，跨源资源共享）是一个至关重要的概念。它允许Web应用从不同的源（域名、协议或端口）加载资源，从而提高了网络应用的灵活性。简单来说，CORS通过设置HTTP响应头，控制浏览器的跨域行为，使得原本因浏览器安全策略（同源策略）而受限的跨源请求可以被允许。 为了更好地理解CORS的作用，我们需要先掌握同源策略的基础知识。同源策略是浏览器的一个安全机制，它限制了不同源之间的文档或脚本如何进行交互。当一个源尝试访问另一个源的资源时，浏览器会检查源之间的协议、域名和端口是否一致，如果不一致，则该请求会被浏览器阻止。 CORS为同源策略提供了一种灵活的机制，通过在服务器响应中添加特定的HTTP头，指示浏览器哪些源的跨源请求是被允许的。这样，开发者能够控制哪些第三方网站可以读取服务端资源，同时保护敏感数据不被未授权的网站访问。在接下来的章节中，我们将深入探讨如何在Servlet和JSP中配置和实践CORS，以及如何解决相关的疑难杂症，并了解CORS如何与现代Web技术融合应用。 # 2. Servlet中的CORS配置与实践 ## 2.1 CORS的响应头设置 ### 2.1.1 Access-Control-Allow-Origin响应头的使用与限制 当Web应用需要与不同的域名进行交互时，`Access-Control-Allow-Origin`是一个关键的响应头，用于控制哪些外部域可以访问当前资源。此响应头的值可以是`*`（表示接受任何域的请求）或者是一个具体的域名。 然而，并非所有的浏览器和浏览器版本都允许`*`值，特别是当响应体包含敏感数据时（例如使用了`Authorization`请求头）。出于安全考虑，建议明确指定允许访问的域，避免将CORS开放给所有来源，以防止潜在的跨站请求伪造（CSRF）攻击。 示例配置如下： ```java response.setHeader("Access-Control-Allow-Origin", "http://example.com"); ``` 在Servlet中配置该响应头，可以使用`doFilter`方法来设置。比如： ```java @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "http://example.com"); chain.doFilter(req, res); } ``` ### 2.1.2 Access-Control-Allow-Methods与Access-Control-Allow-Headers的作用 当服务器收到预检请求时，`Access-Control-Allow-Methods`响应头用于指示实际请求所允许使用的HTTP方法。例如，如果前端尝试通过POST方法进行请求，而服务器端只允许GET方法，则请求将被拒绝。 该响应头的值是一个逗号分隔的列表，指示允许的HTTP方法： ```java response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS"); ``` `Access-Control-Allow-Headers`响应头则用于指定实际请求中允许携带的HTTP头字段。如果实际请求中携带了服务器未指定的头字段，则请求会被预检请求所拒绝。 比如，当需要添加自定义头字段时： ```java response.setHeader("Access-Control-Allow-Headers", "X-My-Custom-Header, X-Another-Custom-Header"); ``` 在Servlet中，配置这些响应头可以使用类似的`doFilter`方法来实现： ```java @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS"); response.setHeader("Access-Control-Allow-Headers", "X-My-Custom-Header, X-Another-Custom-Header"); chain.doFilter(req, res); } ``` ## 2.2 Servlet过滤器在CORS中的应用 ### 2.2.1 创建自定义过滤器处理跨域请求 创建一个自定义的过滤器可以集中处理跨域请求的逻辑。通过继承`javax.servlet.Filter`接口，并重写`doFilter`方法，可以插入自定义的CORS逻辑到请求/响应流程中。 ```java public class CrossOriginFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; String origin = request.getHeader("Origin"); if (origin != null && allowedOrigin(origin)) { response.setHeader("Access-Control-Allow-Origin", origin); } response.setHeader("Access-Control-Allow-Credentials", "true"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS"); response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-My-Custom-Header"); if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { chain.doFilter(req, res); } } @Override public void destroy() {} private boolean allowedOrigin(String origin) { // Implement logic to check if this origin is allowed return true; } } ``` 在web.xml中注册过滤器： ```xml <filter> <filter-name>CrossOriginFilter</filter-name> <filter-class>com.example.CrossOriginFilter</filter-class> </filter> <filter-mapping> <filter-name>CrossOriginFilter</filter-name> <url-pattern>/*</url-patt ```