SpringMVC跨域問題排查以及源碼實現 最近一次項目中,將SpringMVC版本從4.1.1升級到4.3.10,出現跨域失敗的情況。關於同源策略和跨域解決方案,網上有很多資料。 項目採用的方式是通過實現過濾器Filter,在Response返回頭文件添加跨域資源共用(CORS) 相關的參數。 發 ...
SpringMVC跨域問題排查以及源碼實現
最近一次項目中,將SpringMVC版本從4.1.1升級到4.3.10,出現跨域失敗的情況。關於同源策略和跨域解決方案,網上有很多資料。
項目採用的方式是通過實現過濾器Filter,在Response返回頭文件添加跨域資源共用(CORS) 相關的參數。
response.addHeader("Access-Control-Allow-Origin", "http://test.com");
response.addHeader("Access-Control-Allow-Credentials", "true");
response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT, HEAD");
response.addHeader("Access-Control-Allow-Headers", "Content-Type");
response.addHeader("Access-Control-Max-Age", "3600");發佈完成,回歸測試的過程發現跨域失敗,但是本地開發是沒有問題的。
經過排查線下和線上的區別,因為是前後端分離項目,所以線上基本會配置前端和後端獨立的功能變數名稱,通過跨域的方式調用。但是本地開發的時候,前端通過nginx配置轉發請求到後端服務,也就避開了跨域的問題。所以為了不影響線上環境,先暫時把線上的調用改成和線下一致,服務正常。
後面開始排查具體的失敗問題,開始排查的幾個點:
- 4.1.1到4.3.10 SpringMVC有什麼版本更新
- 為什麼4.1.1沒有問題,4.3.10會有問題,畢竟項目採用的跨域解決方案是比較通用(W3C標準 )的,沒有涉及框架層面。
通過查看SpringMVC官方文檔,從4.2.0版本開始,SpringMVC開始支持CORS跨域解決方案,主要表現是通過簡單的配置,就可以支持CORS,從後面源碼分析,可以看到本質還是對Response添加頭文件。
https://docs.spring.io/spring/docs/4.2.0.RELEASE/spring-framework-reference/html
可以看到最快的方式實現CORS,通過xml配置
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>把項目代碼原先的跨域方式改成,框架提供的方案。(去掉原先的過濾器)
再一次測試發現,並沒有解決問題,還是和原先的效果是一樣的。說明通過配置xml的實現和原先的實現幾乎是一樣的。繼續排查問題。
可以看到跨域預處理請求返回狀態碼是302,考慮到幾點:3xx一般是許可權問題導致、跨域預處理請求頭參數不會攜帶參數。所以聯想到Login的攔截器,通過Debug打斷點的方式,確實options請求走到了攔截器裡面,那也就基本確認是因為攔截器校驗失敗,導致的跨域預處理請求失敗。後面驗證了之前4.1.1的校驗過程,看到options請求並沒有走到Login的攔截器。
通過上面的排查,也就有了後面的問題和源碼解讀。
- 為什麼4.1.1和4.3.10的options請求攔截器處理不一樣。
- 4.2.0以上版本SpringMVC對於CORS的實現原理。
SpringMVC的入口文件DispatcherServlet,我們分為4.2.0之前和之前兩個方面追溯options請求的處理過程,對於SpringMVC本身源碼不詳細討論,只針對跨域相關內容。
4.2.0之前,預設情況下DispatcherServlet繼承自FrameworkServlet,FrameworkServlet處理了所有的http請求,調用processRequest() 方法。我們主要看下options請求。
protected void doOptions(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
if(this.dispatchOptionsRequest) {
this.processRequest(request, response);
if(response.containsHeader("Allow")) {
return;
}
}
super.doOptions(request, new HttpServletResponseWrapper(response) {
public void setHeader(String name, String value) {
if("Allow".equals(name)) {
value = (StringUtils.hasLength(value)?value + ", ":"") + RequestMethod.PATCH.name();
}
super.setHeader(name, value);
}
});
}SpringMVC提供了Boolean類型的dispatchOptionsRequest來控制是否開啟對options請求的處理,預設情況下不做處理,直接調用父類的doOptions()方法。基本上沒有做任何處理,就對請求返回正常的響應結果,主要是CORS預請求作為校驗需要的請求頭封裝。
顯然在4.2.0之前的版本,options請求不會進入到Login攔截器。
4.2.0之後,SpringMVC源碼文件加入了很多關於CORS處理的文件,我們還是先看到FrameworkServlet對於options的請求處理。
protected void doOptions(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
if(this.dispatchOptionsRequest || CorsUtils.isPreFlightRequest(request)) {
this.processRequest(request, response);
if(response.containsHeader("Allow")) {
return;
}
}
super.doOptions(request, new HttpServletResponseWrapper(response) {
public void setHeader(String name, String value) {
if("Allow".equals(name)) {
value = (StringUtils.hasLength(value)?value + ", ":"") + HttpMethod.PATCH.name();
}
super.setHeader(name, value);
}
});
}可以看到最大的區別是CorsUtils.isPreFlightRequest(request),這個靜態方法是用於判斷請求是否是預處理請求,顯然options會返回true,所以也就會執行和其他請求一樣的processRequest()方法,繼續往下看。
快速查看調用路徑FrameworkServlet.processRequest()->DispatcherServlet.doService()->DispatcherServlet.doDispatch()。
try {
processedRequest = this.checkMultipart(request);
multipartRequestParsed = processedRequest != request;
mappedHandler = this.getHandler(processedRequest);
if(mappedHandler == null || mappedHandler.getHandler() == null) {
this.noHandlerFound(processedRequest, response);
return;
}
HandlerAdapter ha = this.getHandlerAdapter(mappedHandler.getHandler());
String method = request.getMethod();
boolean isGet = "GET".equals(method);
if(isGet || "HEAD".equals(method)) {
long lastModified = ha.getLastModified(request, mappedHandler.getHandler());
if(this.logger.isDebugEnabled()) {
this.logger.debug("Last-Modified value for [" + getRequestUri(request) + "] is: " + lastModified);
}
if((new ServletWebRequest(request, response)).checkNotModified(lastModified) && isGet) {
return;
}
}
if(!mappedHandler.applyPreHandle(processedRequest, response)) {
return;
}
mv = ha.handle(processedRequest, response, mappedHandler.getHandler());
if(asyncManager.isConcurrentHandlingStarted()) {
return;
}
this.applyDefaultViewName(processedRequest, mv);
mappedHandler.applyPostHandle(processedRequest, response, mv);
} catch (Exception var20) {
dispatchException = var20;
} catch (Throwable var21) {
dispatchException = new NestedServletException("Handler dispatch failed", var21);
}可以看到一個請求,會通過getHandler()方法獲取處理器,在處理之前會先執行applyPreHandle(),處理所有攔截器的前置方法,所以我們可以確定的一個問題是,因為doOptions()的不同,所以options請求攔截器處理不一樣。
繼續看CORS的實現原理,我們看下getHandler()方法的實現。
protected HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
Iterator var2 = this.handlerMappings.iterator();
HandlerExecutionChain handler;
do {
if(!var2.hasNext()) {
return null;
}
HandlerMapping hm = (HandlerMapping)var2.next();
if(this.logger.isTraceEnabled()) {
this.logger.trace("Testing handler map [" + hm + "] in DispatcherServlet with name '" + this.getServletName() + "'");
}
handler = hm.getHandler(request);
} while(handler == null);
return handler;
}針對請求request,在handlerMappings這個Map中相應的處理器,在SpringMVC執行init方法時,已經預載入處理器Map。處理器實現了HandlerMapping介面的getHandler方法。看到預設AbstractHandlerMapping抽象類實現了該方法。
public final HandlerExecutionChain getHandler(HttpServletRequest request) throws Exception {
Object handler = this.getHandlerInternal(request);
if(handler == null) {
handler = this.getDefaultHandler();
}
if(handler == null) {
return null;
} else {
if(handler instanceof String) {
String handlerName = (String)handler;
handler = this.getApplicationContext().getBean(handlerName);
}
HandlerExecutionChain executionChain = this.getHandlerExecutionChain(handler, request);
if(CorsUtils.isCorsRequest(request)) {
CorsConfiguration globalConfig = this.corsConfigSource.getCorsConfiguration(request);
CorsConfiguration handlerConfig = this.getCorsConfiguration(handler, request);
CorsConfiguration config = globalConfig != null?globalConfig.combine(handlerConfig):handlerConfig;
executionChain = this.getCorsHandlerExecutionChain(request, executionChain, config);
}
return executionChain;
}
}我們主要看對於CORS的處理代碼段,首先判斷CORS請求。然後是對CORS配置的config處理(也就是SpringMVC提供的配置介面,包括xml、註釋),主要是支持請求類型、域、緩存時長等,繼續看getCorsHandlerExecutionChain()實現。
protected HandlerExecutionChain getCorsHandlerExecutionChain(HttpServletRequest request, HandlerExecutionChain chain, CorsConfiguration config) {
if(CorsUtils.isPreFlightRequest(request)) {
HandlerInterceptor[] interceptors = chain.getInterceptors();
chain = new HandlerExecutionChain(new AbstractHandlerMapping.PreFlightHandler(config), interceptors);
} else {
chain.addInterceptor(new AbstractHandlerMapping.CorsInterceptor(config));
}
return chain;
}對於CORS的非簡單請求,主要分為預處理請求和正常請求,SpringMVC分別進行處理,把針對每個請求的處理看作是調用鏈,這個調用鏈肯定會包含攔截器,看到上面對於預處理請求的處理方式,會把調用鏈根據config配置重新初始化,同時把攔截器賦值進去,這樣就更近一步說明,options預處理請求,會執行到Login攔截器中。針對CORS的正常請求,SpringMVC就會動態添加一個攔截器,它的主要作用就是和我們自己實現的過濾器的效果是一致的。
綜上,基本知道問題發生的原因和原理,項目後面的改進方式,採用對Login攔截器,使用封裝的CorsUtils.isPreFlightRequest(request)判斷是不是預處理請求,如果是,就不對登錄態校驗。
後記:對於options的請求,為什麼SpringMVC4.2.0以後,需要配置config處理,而不是直接和原先的處理一樣,直接返回成功。猜測是可以通過config更豐富的配置。而不是籠統的返回跨域支持和不支持。
轉載請註明出處。
作者:wuxiwei
出處:http://www.cnblogs.com/wxw16/p/10674539.html
