web站点跨域白名单实践

原創 cheneron 2018-11-26 08:32

1.web.xml允许跨域名单与允许接口跨域配置


<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
	http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

  <display-name>Archetype Created Web Application</display-name>

   ......
    <!--跨域处理开始 -->
    <filter>
        <filter-name>cros</filter-name>
        <filter-class>com.kuayu.filter.AccessFilter</filter-class>
        <init-param>
            <param-name>allowDomainRequestUrl</param-name>
            <param-value>
                /IPermissionService/getVersionSecret.htm,
                /IPermissionService/getVersionSecret
            </param-value>
        </init-param>
        <init-param>
            <param-name>allowDomain</param-name>
            <param-value>
                http://ces.bbc.com,
                http://ces.bbc.com:80,
                https://ces.bbc.com,
                https://ces.bbc.com:80
            </param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>cros</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!--跨域处理结束 -->

   ......
</web-app>

2.跨域过滤器 AccessFilter 类

package com.kuayu.filter;


import org.apache.commons.collections4.CollectionUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Collections;
import java.util.HashSet;
import java.util.Set;

@Component
public class AccessFilter extends HttpServlet implements Filter {

    private static final long serialVersionUID = 1L;
    /** 获取允许跨域请求的URL */
    private Set<String> allowDomainRequestUrls = Collections.emptySet();
    /** 获取允许跨域地址 */
    private Set<String> allowDomains = Collections.emptySet();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String allowDomainRequestUrl = filterConfig.getInitParameter("allowDomainRequestUrl");
        String allowDomain = filterConfig.getInitParameter("allowDomain");
        //获取允许跨域请求的URL
        allowDomainRequestUrls = strSplitConvertList(allowDomainRequestUrl,",");
        //获取允许跨域地址
        allowDomains = strSplitConvertList(allowDomain,",");
    }

    /**
     * String分隔
     * @param sourceStr
     * @param split
     * @return
     */
    private Set<String> strSplitConvertList(String sourceStr,String split){
        if(StringUtils.isBlank(sourceStr)){
            return Collections.emptySet();
        }
        String[] sourceArray = StringUtils.split(sourceStr,split);
        if(null == sourceArray || sourceArray.length == 0){
            return Collections.emptySet();
        }
        Set<String> sets = new HashSet<String>();
        for(String str : sourceArray){
            if(StringUtils.isNotBlank(str)){
                sets.add(str.trim());
            }
        }
        return sets;
    }

    /**
     * 是否包含请求Url
     * @param includeURLs
     * @param requestUrl
     * @return
     */
    public static boolean isIncludeUrl(Set<String> includeURLs, String requestUrl){
        if(CollectionUtils.isEmpty(includeURLs)){
            return Boolean.FALSE;
        }
        for(String includeURL : includeURLs){
            if(requestUrl.endsWith(includeURL)){
                return Boolean.TRUE;
            }
        }
        return Boolean.FALSE;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String requestUrl = httpRequest.getServletPath();
        //获取请求的域名
        String originHeader= httpRequest.getHeader("Origin");
        //如果请求的域为允许跨域的域名  且 请求URL为允许跨域的URL
        if (allowDomains.contains(originHeader) && isIncludeUrl(allowDomainRequestUrls,requestUrl)){
            httpResponse.setHeader("Access-Control-Allow-Origin", originHeader);
            httpResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
            httpResponse.setHeader("Access-Control-Max-Age", "3600");
            //表明服务器支持的所有头信息字段
            httpResponse.setHeader("Access-Control-Allow-Headers","Origin,No-Cache,X-Requested-With,If-Modified-Since,Pragma,Last-Modified,Cache-Control,Expires,Content-Type,X-E4M-With,userId,token,X-Test-TOKEN");
            //如果要把Cookie发到服务器,需要指定Access-Control-Allow-Credentials字段为true;
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
            httpResponse.setHeader("XDomainRequestAllowed","1");

           /* Cookie[] cookies = httpRequest.getCookies();
            // 然后迭代之
            String token = "USER_ID";
            if (cookies != null && cookies.length > 0) { //如果没有设置过Cookie会返回null
                for (Cookie cookie : cookies) {
                    if(cookie.getName().equals("token")){
                        token = cookie.getValue();
                    }
                }
            }
            Cookie cookie = new Cookie("token",token);
            cookie.setPath("/");
            httpResponse.addCookie(cookie);*/
        }
        chain.doFilter(request, httpResponse);
    }
}

 

3.常见问题

a.针对特定接口跨域时,跨域逻辑需要放入过滤类中来实现,请求方式Object在到接口之前已被拦截了。

b.请求未跨域时, String originHeader= httpRequest.getHeader("Origin");获取内容为空对象。

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

优雅的写出switch

一般的小碼農或者是沒有前途的碼農寫的switch語句,這麼說我不會再路上遭遇板磚吧。。。。。 private static String createPlayer(PlayerTypes playerType) { swi

HelloWorld_MHC 2020-07-06 20:10:19

程序之美----吊炸天的程序员才写的注释

鳥 /* .---. .----------- * / \ __ / ------ * / / \( )/ ----- * //////

HelloWorld_MHC 2020-07-06 20:10:19

vue 前端导入execl数据

直接上我從別人那裏複製的代碼 html <input type="file" @change="importf(this)" accept=".csv, application/vnd.openxmlformat

最有才的河南大汉 2020-07-04 08:08:45

npm 上传vue插件报错,npm ERR! 400 Bad Request - PUT xxx is invalid for new packages

這個報錯是不允許使用大寫字母作爲插件名稱,改成小寫就ok了。 參考鏈接

最有才的河南大汉 2020-07-04 08:08:34

vscode 的 console 快捷方式

平時打一個console.log()需要半天,如果console打錯了又是需要半天找錯,webpack構建的小項目還好,萬一是大項目或者gulp,又是半天的漫長等待,簡直是浪費生命。 { "redConsole": {

最有才的河南大汉 2020-07-04 08:08:34

vscode设置按tab代码自动补全

添加這個代碼: "emmet.triggerExpansionOnTab": true 成了,本來是教笨比劉婷,突然想到可能還有更多的笨比需要。

最有才的河南大汉 2020-07-04 08:08:34

Hibernate (单向)多对多的更新问题

做SSH項目的時候碰到很多關於Hibernate關係映射更新的問題,有些問題在網上翻閱了很多資料也沒找到根本的解決方法,所以記錄下這些問題以作保存! Hibernate (單向)多對多 業務環境如下: 一個系統有多個角色(rol

aboy123 2020-07-03 05:14:16

Linus学习笔记

最近剛開始接觸Linus的學習。之前一直是使用的是微軟的“圖形化”操作系統,首次接觸Linus操作系統,確實會感到有很多的不便之處。這裏記錄一下自己學習Linus的筆記。 Linus的特點   開放源代碼軟件通常採用GPL或LGPL許可協

aboy123 2020-07-03 05:14:16

DWZ生成动态表单

最近在項目中使用了DWZ這一簡單實用的國產JQuery UI框架。通過這段時間的接觸,感覺DWZ確實很好用,提供了很多常見的UI。 通過DWZ,開發人員可以在不寫JavaScript的情況下,使用用Ajax做項目和使用各種UI組件。 基

aboy123 2020-07-03 05:14:16

redis分布式锁理解

  redis有一個命令是setIfAbsent,只要redis裏存在了這個值還會false,或者還會true。 每個線程進來時,都先判斷是否有(Boolean result = strRedisTrmplate.opsForValue(

baotingping123 2020-07-03 00:50:51

类加载过程和双亲委派机制的理解

類加載過程:(加載->驗證->準備->解析->初始化) 先在磁盤上讀入這個類文件,調用這個類時,然後把這個類加載到內存中。然後驗證這個類是否是正確的,如果這個類有靜態變量就分配內存,解析這些類的靜態鏈接(比如main方法等)和動態鏈接(比

baotingping123 2020-07-03 00:50:51

第一个Blog问题

進入CSDN_Blog管理界面,無法進入正文編輯界面,出現Script錯誤: 行:1字符:1代碼:0錯誤:'document.getElementById(...)' 爲空或不是對象網址:http://writeblog.csdn.net

CNASP 2020-07-02 23:29:57

SQL中EXCEPT和Not in的区别?

初始化兩張表: CREATE TABLE tb1(ID int) INSERT tb1          SELECT NULLUNION  ALL          SELECT NULLUNION  ALL          SELE

空空空 2020-07-02 22:00:51

对有主外键约束表数据的操作

今天同事,在做某一個功能時候,需要對某個具有主鍵約束的表進行更新、刪除操作,按照原有一般情況下的做法會是:先刪除外鍵表的數據,再刪除主鍵表數據。卻沒發現原來數據庫中對這種鍵的約束有個屬性可以修改,修改後,刪除主鍵表的數據,隨之匹配的外鍵表

空空空 2020-07-02 22:00:51

join 后的where你清楚吗?

今天,在對兩張表進行left join時候,總是查詢少結果,並不是所要的答案,原來的語句: select aa.RoomId, bb.SectionID from aa left join bb on aa.RoomId = bb.Ol

空空空 2020-07-02 22:00:51