首先大家了解下什么是跨域: 跨域:即跨站HTTP请求(Cross-site HTTP request),指发起请求的资源所在域不同于请求指向资源所在域的HTTP请求 随着前后端分离的发展,跨域在所难免,比如说,前段页面域名A(www.A.com)访问后端接口域名B(www.B.com) 这个时候两个域名不同就会出现跨域。
因此,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。) 同域:简单的解释就是具有相同的域名(a.com)、端口(8080)和协议(http)。同源策略:请求的URL地址,必须与浏览器上的URL地址处于同域。因此解决跨域问题有多种形式: 首先最常用的方法实现Filter
@Component
public class CORSFilter implements Filter {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
String origin = request.getHeader("Origin");
try {
if (StringUtils.isNotBlank(origin)) {
URL url = new URL(origin);
// String port = ":" + url.getPort();
String uri = url.getProtocol() + "://" + url.getHost() ;
response.setHeader("Access-Control-Allow-Origin", uri);
}
} catch (Exception e) {
}
// response.addHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, PATCH");
// 获取request中的Access-Control-Request-Headers参数
String requestHeaders = request.getHeader("Access-Control-Request-Headers");
if (StringUtils.isEmpty(requestHeaders)) {
requestHeaders = "Accept, Origin, XRequestedWith, Content-Type, LastModified";
} else {
requestHeaders = "Accept, Origin, XRequestedWith, Content-Type, LastModified," + requestHeaders;
}
response.setHeader("Access-Control-Allow-Headers", requestHeaders);
response.setHeader("Access-Control-Max-Age", "3600");
response.setCharacterEncoding("UTF-8");
chain.doFilter(req, res);
}
public void init(FilterConfig filterConfig) {}
public void destroy() {}
}
"Access-Control-Allow-Origin", "*" ,可以设置*也可以为任意url,标识允许所有(*)/指定的地址(“www.A.com”)跨域请求。
从Spring MVC 4.2 开始增加支持跨域访问
某个方法支持跨域访问
在方法上增加@CrossOrigin注解,如下:
@RequestMapping("/a")
@ResponseBody
@CrossOrigin
public String a(HttpServletRequest req, HttpServletResponse res, String name){
……
……
}
其中@CrossOrigin中的2个参数:
origins : 允许可访问的域列表
maxAge:飞行前响应的缓存持续时间的最大年龄(以秒为单位)
整个Controller都支持跨域访问,在类上面加上注解@CrossOrigin,如下
@Controller
@CrossOrigin
public class TestController {
……
……
}
自定义规则支持全局跨域访问,在spring-mvc.xml文件中配置映射路径,如下:
<mvc:cors>
<mvc:mapping path="/cross/*"/>
</mvc:cors>
如果整个项目所有方法都可以访问,则可以这样配置
<mvc:cors>
<mvc:mapping path="/**"/>
</mvc:cors>
其中* 表示匹配到下一层
** 表示后面不管有多少层,都能匹配。