Почему в связке Spring boot & Angular я должен включать поддержку межсайтовых запросов?

Question

[opopsel_86x64]

При разработки проекта на Spring и Angular, я должен добавлять аннотацию @CrossOrigin в Spring контроллеры, чтобы включить поддержку CORS.

По определению

Cross-origin resource sharing — технология современных браузеров, которая позволяет предоставить веб-страницам доступ к ресурсам другого домена.

Если при разработке мое Angular приложение стартует на порту 4200, а Spring boot на порту 8080, то выходит это 2 домена.

Примечание: Даже если ваш внутренний сервер работает на локальном хосте с другим портом, он рассматривается как другой домен.

Но если я скомпилирую angular и положу исходники в resources, то у меня уже 1 домен, почему тогда требуется поддержка CORS, почему она не требуется если я создаю простое ajax/fetch + spring приложение?

Comments

[lssssssssssl]

Не знаю, что там у спринга, но если вы билдите ангуляр и используете в качестве статики к бэкенду, корс вам не нужен. По крайней мере, я таких проблем никогда не испытывал.

У вас ошибка какая-то конкретная вылезает?

Answer 1

[Dmitry Roo]

Для разработки используйте cross-origin.
В прод. среде у вас будет какой-то http сервер (nginx, например), который все эти вопросы решит

Comments

[opopsel_86x64]

Не совсем понятно как он решит. Ведь для Springа пользователь который в браузере руками ввел url, получил страницу которая является результатом компиляции Angular, и пользователь который нажал на страничке кнопку и отправил fetch запрос - одно и тоже. Почему в целом в данной ситуации нужно решать этот вопрос?

[Dmitry Roo]

opopsel_86x64, потому что пользователь хочет видеть ваш сервис на 80 (443) порту.
Это ответственность http сервера и http сервер умеет перенаправлять запросы от пользователя вашим приложениям. Не стоит забывать, что ангуляр будет выполняться на стороне пользователя и запросы с фронтенда = запросы от пользователя.
От фронтенда будут примерно такие запросы: site.org/api/req
а ваше приложение будет крутиться, напаример на loclahost:8091/service/api/endpoint
Порт 8091 наружу не должен быть выставлен. И вот чтобы перенаправить запросы на ваш сервис и чтобы скрыть подробности архитектуры нужен http сервер. По дороге он решит вопрос с cross-origin

[opopsel_86x64]

Dmitry Roo, да, вы ответили на мой вопрос, спасибо. Но у меня возник другой вопрос. Если мы используем nginx как проксирующий сервер, то он сам занимает порт. К примеру nginx работает на порту 80, проксирует запросы на tomcat который работает на порту 8081. Почему тогда обращаясь из вне, буду указывать site.org а не site.org:80 чтобы nginx получил мой запрос?

[Dmitry Roo]

opopsel_86x64, потому что ваш браузер это делает за вас (для 80 - http и 443 - https)
Вы можете прямо сейчас вбить qna.habr.com:443 (или 80) и увидете, как :443 (или :80) волшебным образом пропадет.
http:// вначале любого запроса означает протокол http - для него зарезервирован порт 80
С https - аналогично, 443