理解WebSocket跨域连接问题

在使用Java Spring构建WebSocket服务器时，如果WebSocket客户端与服务器部署在不同的源（即不同的协议、域名或端口），则在尝试建立连接时可能会遇到WebSocket connection failed的错误。这通常是由于浏览器的同源策略（Same-Origin Policy）限制所导致的。尽管WebSocket协议本身是全双工的，其初始握手阶段仍然遵循HTTP协议的约定，这意味着浏览器会检查WebSocket连接请求的源与服务器的源是否一致。如果不一致，浏览器出于安全考虑会阻止连接。

例如，当一个运行在http://localhost:3000的JavaScript客户端尝试连接到ws://localhost:8080/sockets的Spring WebSocket服务器时，由于端口不同，它们被视为不同的源，从而触发跨域安全限制，导致连接失败。然而，如果客户端也运行在http://localhost:8080，则连接会成功，这进一步证实了同源策略是问题的根源。

Spring WebSocket服务器端配置解决方案

为了允许来自不同源的WebSocket客户端连接，Spring框架提供了WebSocketHandlerRegistry的setAllowedOrigins()方法，用于明确指定允许哪些源发起WebSocket连接。

原始配置（存在跨域问题）

以下是最初的Spring WebSocket服务器配置示例，它没有明确处理跨域问题：

// WebSocketConfig.java
@Configuration
@EnableWebSocket
public class WebSocketConfig implements WebSocketConfigurer  {
    @Autowired
    SocketTextHandler socketTextHandler;

    @Override
    public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) {
        // 默认情况下，只允许同源连接
        registry.addHandler(socketTextHandler, "/sockets");
    }
}

// SocketTextHandler.java
@Component
public class SocketTextHandler extends TextWebSocketHandler {
    @Override
    public void handleTextMessage(WebSocketSession session, TextMessage message)
            throws InterruptedException, IOException {
        String payload = message.getPayload();
        System.out.println("Received from session " + session.getId() + ": " + payload);
        session.sendMessage(new TextMessage("Response: " + payload));
    }

    @Override
    public void handleTransportError(WebSocketSession session, Throwable exception) {
        System.err.println("Server transport error for session " + session.getId() + ": " + exception.getMessage());
    }
}

解决跨域问题的配置

要解决跨域问题，只需在registerWebSocketHandlers方法中，为WebSocket处理器链添加.setAllowedOrigins()配置：

// WebSocketConfig.java
@Configuration
@EnableWebSocket
public class WebSocketConfig implements WebSocketConfigurer  {
    @Autowired
    SocketTextHandler socketTextHandler;

    @Override
    public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) {
        // 允许来自所有源的WebSocket连接
        registry.addHandler(socketTextHandler, "/sockets").setAllowedOrigins("*");
    }
}

通过调用setAllowedOrigins("*")，服务器将接受来自任何源的WebSocket连接请求。一旦服务器端配置更新并重新部署，客户端即可成功建立连接。

LongShot

LongShot 是一款 AI 写作助手，可帮助您生成针对搜索引擎优化的内容博客。

下载

setAllowedOrigins()的注意事项与最佳实践

• *开发环境使用`""：** 在开发和测试阶段，使用setAllowedOrigins("*")`可以方便地快速验证功能，因为它允许所有源进行连接。
• 生产环境安全性： 在生产环境中，强烈不建议使用"*"，因为它会带来潜在的安全风险。攻击者可能会利用此配置从恶意网站发起连接。
• 指定具体源： 最佳实践是明确列出所有允许的客户端源。例如，如果你的前端应用部署在http://localhost:3000和https://yourdomain.com，你应该这样配置：

  registry.addHandler(socketTextHandler, "/sockets")
          .setAllowedOrigins("http://localhost:3000", "https://yourdomain.com");

  这样可以确保只有受信任的源才能与WebSocket服务器建立连接，从而增强应用的安全性。

• 协议、域名和端口： setAllowedOrigins()方法中的每个源字符串都必须包含完整的协议（http/https）、域名（或IP地址）和端口号。

客户端代码（无需修改）

一旦服务器正确配置了允许的源，客户端的WebSocket连接代码通常无需任何修改即可正常工作。

  
    
WebSocket Client
    
  

当客户端运行在http://localhost:3000并尝试连接到ws://localhost:8080/sockets时，如果服务器已通过setAllowedOrigins("http://localhost:3000")或setAllowedOrigins("*")进行配置，连接将成功建立，并在控制台看到WebSocket connection opened的日志。

总结

在Spring WebSocket应用中处理跨域连接是一个常见的需求，其核心在于理解浏览器的同源策略以及如何在服务器端正确配置允许的源。通过在WebSocketHandlerRegistry中使用.setAllowedOrigins()方法，我们可以明确告知Spring WebSocket服务器接受来自特定源的连接请求。为了保证生产环境的安全性，务必避免使用通配符"*"，而是应该精确列出所有合法的前端应用源。正确配置后，WebSocket客户端将能够无缝地与服务器进行通信，无论它们是否部署在同一个源上。