1、跨域:
前端请求后端处理符合的同源条件:即相同域名、端口、协议。
如果以上条件有一个不符合,那么就会出现跨域问题
2、解决方案(CORS)
2.1 CORS 协议
以下参考链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
2.1.1 常见HTTP响应的首部字段
(1)Access-Control-Allow-Origin
Access-Control-Allow-Origin: <origin> | *
origin 参数的值指定了允许访问该资源的外域 URI。对于不需要携带身份凭证的请求,服务器可以指定该字段的值为通配符,表示允许来自所有域的请求。
(2) Access-Control-Max-Age
头指定了preflight(预检验)请求的结果能够被缓存多久,即请求在多少秒内有效,不需要重新发送
Access-Control-Max-Age: <delta-seconds>
(3)Access-Control-Allow-Headers
表明服务器把允许浏览器访问的头
如
Access-Control-Allow-Headers: content-type
(4)Access-Control-Allow-Credentials
表示是否可以允许浏览器读取response的内容
如:
Access-Control-Allow-Credentials:true
(5)Access-Control-Allow-Methods
表明
实际请求所允许使用的 HTTP 方法。
如
Access-Control-Allow-Methods: GET,PUT, DELETE
2.1.2 CORS 基本流程与注意事项
(1) OPTIONS: 发出预检验的请求,向服务器发出一个"OPTIONS"方法。只有该请求获得允许后,才会发起真实的外域请求
(2)Origin:首部字段表明预检查请求或者实际请求的源站
注意:如果要发送cookie , Access-Control-Allow-Origin 就不能设为“*”,必须指定明确的、与请求网页一致的域名
2.1 带cookie的跨域请求例子
package com.honeywell.fireiot.integrationService.filter;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class CORSFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletResponse res = (HttpServletResponse) servletResponse;
HttpServletRequest request = (HttpServletRequest) servletRequest;
String head = request.getHeader("Origin");
//从Origin中获取实际请求的域
if (head != null && !head.equals("")) {
res.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
} else {
res.setHeader("Access-Control-Allow-Origin", "*");
}
res.setHeader("Access-Control-Allow-Credentials", "true");
res.setHeader("Access-Control-Allow-Methods", "*");
res.setHeader("Access-Control-Max-Age", "3600");
res.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, HaiYi-Access-Token");
if (request.getMethod().equals("OPTIONS")) {
res.setStatus(HttpServletResponse.SC_OK); //对于预检验请求直接响应许可
} else {
filterChain.doFilter(servletRequest, servletResponse);
}
}
@Override
public void destroy() {
}
}