所需组件

• 核心模块 alg-core-starter
• 跨域模块 alg-cors-starter

背景

跨域问题源自浏览器的同源策略，是浏览器为防止CSRF攻击和XSS攻击而内嵌的安全策略,所谓同源是指以下三者都相同： - 协议 - 域名 - 端口

例如，当前页面的地址为http://www.example.com/dir/page.html，其协议是http，域名是www.example.com，端口是默认端口80，那么对于以下资源地址其同源策略判定结果为： - http://www.example.com/dir2/other.html 同源 - http://example.com/dir/other.html 不同源（域名不同） - http://v2.www.example.com/dir/other.html 不同源（域名不同） - http://www.example.com:81/dir/other.html 不同源（端口不同）

浏览器一旦发现非同源请求（跨域请求），就会自动添加一些附加头部信息，有时还会附加一次请求，当同源策略无法满足时，操作将被浏览器阻止。

解决同源问题的标准方案是跨域资源共享CORS。CORS将跨域请求分为简单请求和非简单请求两类。

简单请求需要同时满足以下两大条件： 1. 请求方法是以下三种方式之一： - HEAD - GET - POST

1. HTTP头部不超出以下几种字段：
2. Accept
3. Accept-Language
4. Content-Language
5. Last-Event-ID
6. Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

当不满足时，就被视为非简单请求。

当发起简单请求时，浏览器会直接发出请求并在头部中自动加入Origin字段，该字段标明了请求来自哪个源（协议+域名+端口），服务器会根据这个值确定是否批准这次请求。如果服务器未通过请求，会返回一个正常的HTTP响应，但是响应头部中不会包含Access-Control-Allow-Origin字段，浏览器会检查响应头部是否包含此字段，没有会抛出错误。如果服务器批准请求，会在头部中出现如下信息（举例）：

Access-Control-Allow-Origin: http://example.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

• Access-Control-Allow-Origin 必须。它的值要么是请求时Origin字段的值，要么是一个*，表示接受任意域名的请求。
• Access-Control-Allow-Credentials 可选。布尔值，表示是否允许发送Cookie。
• Access-Control-Expose-Headers 可选。CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段：Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。上面的例子指定，getResponseHeader('FooBar')可以返回FooBar字段的值。

当发起非简单请求时， 会在正式通信前，增加一次HTTP查询请求，称为预检请求（preflight），预检请求的HTTP方法是OPTIONS,预检请求主要包含三个字段： - Origin 标明了请求来自哪个源（协议+域名+端口） - Access-Control-Request-Method 该请求会使用什么HTTP方法 - Access-Control-Request-Headers 该请求会使用哪些HTTP头部 如果预检未通过，服务端返回一个正常的响应报文，但不包含任何CORS相关信息，此时浏览器就会报错。 如果预检通过，服务端会返回一个包含CORS信息的响应报文，例如： ```http request Access-Control-Allow-Methods: GET, POST, PUT Access-Control-Allow-Headers: X-Custom-Header Access-Control-Allow-Credentials: true Access-Control-Max-Age: 1728000

- Access-Control-Allow-Methods 必需。它的值是逗号分隔的一个字符串，表明服务器支持的所有跨域请求的方法。注意，返回的是所有支持的方法，而不单是浏览器请求的那个方法。这是为了避免多次"预检"请求。
- Access-Control-Allow-Headers 如果请求时包含了Access-Control-Request-Headers字段，该字段就是必需的，它也是一个逗号分隔的字符串，表明服务器支持的所有头信息字段，不限于浏览器在"预检"中请求的字段。
- Access-Control-Allow-Credentials 和简单请求时意思相同
- Access-Control-Max-Age 可选。用来指定本次预检请求的有效期，单位为秒。上面结果中，有效期是20天（1728000秒），即允许缓存该条回应1728000秒（即20天），在此期间，不用发出另一条预检请求。

一旦预检通过，以后每次浏览器正常的CORS请求就都跟简单请求一样，包含Origin头信息字段，服务器的回应也包含Access-Control-Allow-Origin头信息字段。

### 使用详解
当引入了跨域访问模块时，框架会自动引入两个CORS配置bean,默认的CORS配置策略是：
- Access-Control-Allow-Origin *
- Access-Control-Allow-Methods HEAD,GET,POST,PUT,DELETE,PATCH,OPTIONS
- Access-Control-Allow-Credentials true
- Access-Control-Allow-Headers Authorization,Cache-Control,Content-Type,Accept,X-Requested-With

此时在默认情况下，应可以满足绝大部分场景的跨域请求要求

如果需要修改该策略，可以创建两个bean，分别是CorsConfigurationSource和ICorsConfig
例如：
```java
@Configuration
public static class TestConfig implements ICorsConfig{
    @Bean
    CorsConfigurationSource configurationSource(){
        final CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(ImmutableList.of("1"));
        configuration.setAllowedMethods(ImmutableList.of("2"));
        configuration.setAllowCredentials(false);
        configuration.setAllowedHeaders(ImmutableList.of("3"));
        final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/test", configuration);
        return source;
    }

    @Override
    public void addCorsMappings(final CorsRegistry registry) {
        registry.addMapping("/test1").allowedMethods("testHeader");
    }
}

自行创建的bean会覆盖框架的默认配置达到自定义逻辑的效果