跨域请求,就是说浏览器在执行脚本文件的ajax请求时,脚本文件所在的服务地址和请求的服务地址不一样。说白了就是ip、网络协议、端口都一样的时候,就是同一个域,否则就是跨域。这是由于Netscape提出一个著名的安全策略——同源策略造成的,这是浏览器对JavaScript施加的安全限制。是防止外网的脚本恶意攻击服务器的一种措施。
同源策略
同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。
什么是源
源[origin]就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。
什么是同源
若地址里面的协议、域名和端口号均相同则属于同源。
是否是同源的判断
例如判断下面的URL是否与 http://www.a.com/test/index.html 同源
-
http://www.child.a.com/test/index.html 不同源,域名不相同
-
https://www.a.com/test/index.html 不同源,协议不相同
-
http://www.a.com:8080/test/index.html 不同源,端口号不相同
Spring MVC提供了@CrossOrigin注解,或者是使用CorsConfiguration。来进行跨域处理。 该标注了注释的方法或类型,允许跨源请求。
origins
-
允许的来源列表. 他的值放置在HTTP协议的响应header的Access-Control-Allow-Origin
-
*意味着所有的源都是被允许的。
-
如果未定义,则允许所有来源。
allowedHeaders
-
实际请求期间可以使用的请求标头列表. 值用于预检的响应header Access-Control-Allow-Headers。
-
* 意味着允许客户端请求的所有头文件。
-
如果未定义,则允许所有请求的headers。
methods
支持的HTTP请求方法列表。 如果未定义,则使用由RequestMapping注释定义的方法。
exposedHeaders
-
浏览器允许客户端访问的响应头列表。 在实际响应报头Access-Control-Expose-Headers中设置值。
-
如果未定义,则使用空的暴露标题列表。
allowCredentials
-
它确定浏览器是否应该包含与请求相关的任何cookie。
-
false – cookies 不应该包括在内。
-
“” (空字符串) – 意味着未定义.
-
true – 预响应将包括值设置为true的报头Access-Control-Allow-Credentials。
-
如果未定义,则允许所有凭据。
maxAge
-
预响应的高速缓存持续时间的最大时间(以秒为单位)。 值在标题Access-Control-Max-Age中设置。
-
如果未定义, 最大时间设置为1800秒(30分钟).
方法一:全局配置类
@Configuration
public class CorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
// 1 设置访问源地址
corsConfiguration.addAllowedOrigin(“*”);
// 2 设置访问源请求头
corsConfiguration.addAllowedHeader(“*”);
//3 设置访问源请求方法
corsConfiguration.addAllowedMethod(“*”);
//4 是否允许用户发送、处理 cookie
corsConfiguration.setAllowCredentials(true);
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
//5 对接口配置跨域设置
source.registerCorsConfiguration(“/**”, buildConfig());
return new CorsFilter(source);
}
}
“_”代表全部。”**”代表适配所有接口。
其中addAllowedOrigin(String origin)方法是追加访问源地址。如果不使用”_”(即允许全部访问源),则可以配置多条访问源来做控制。
例如:
corsConfiguration.addAllowedOrigin(“http://www.aimaonline.cn/”);
corsConfiguration.addAllowedOrigin(“http://test.aimaonline.cn/”);
小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Java)
最后
我想问下大家当初选择做程序员的初衷是什么?有思考过这个问题吗?高薪?热爱?
既然入了这行就应该知道,这个行业是靠本事吃饭的,你想要拿高薪没有问题,请好好磨练自己的技术,不要抱怨。有的人通过培训可以让自己成长,有些人可以通过自律强大的自学能力成长,如果你两者都不占,还怎么拿高薪?
架构师是很多程序员的职业目标,一个好的架构师是不愁所谓的35岁高龄门槛的,到了那个时候,照样大把的企业挖他。为什么很多人想进阿里巴巴,无非不是福利待遇好以及优质的人脉资源,这对个人职业发展是有非常大帮助的。
如果你也想成为一名好的架构师,那或许这份Java核心架构笔记你需要阅读阅读,希望能够对你的职业发展有所帮助。
中高级开发必知必会:
,如果你两者都不占,还怎么拿高薪?
架构师是很多程序员的职业目标,一个好的架构师是不愁所谓的35岁高龄门槛的,到了那个时候,照样大把的企业挖他。为什么很多人想进阿里巴巴,无非不是福利待遇好以及优质的人脉资源,这对个人职业发展是有非常大帮助的。
如果你也想成为一名好的架构师,那或许这份Java核心架构笔记你需要阅读阅读,希望能够对你的职业发展有所帮助。
中高级开发必知必会:
[外链图片转存中…(img-0xYXjsLw-1711155525061)]