跨域问题原理及java后端解决跨域问题

   最近在做一个JavaWeb的项目，遇到请求跨域问题，于是深入了解了这个问题，并进行了总结。

同源策略

   要了解跨域请求，就要先了解浏览器的同源策略。
   同源策略是一个重要的安全策略，它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档，减少可能被攻击的媒介。
   同源的定义：如果两个 URL 的 协议（protocol）、端口（port ，如果有指定的话)和 主机（host ）都相同的话，则这两个 URL 是同源。这个方案也被称为“协议/主机/端口元组”。
   下表给出了与 URL http://store.company.com/dir/page.html 的源进行对比的示例:

URL	结果	原因
http://store.company.com/dir2/other.html	同源	只有路径不同
http://store.company.com/dir/inner/another.ht	同源	只有路径不同
https://store.company.com/secure.html	失败	协议不同
http://store.company.com:81/dir/etc.html	失败	端口不同 ( http:// 默认端口是80)
http://news.company.com/dir/other.html	失败	主机不同

   出于安全性，浏览器限制脚本内发起的跨源HTTP请求。 例如，XMLHttpRequest和Fetch API遵循同源策略。 这意味着使用这些API的Web应用程序只能从加载应用程序的同一个域请求HTTP资源。
   那么跨域访问是怎么被禁止的呢？之前我一直以为是前台的跨域访问请求不能发出去，是实现同源策略的浏览器拦截了该请求，但是后来才知道浏览器并没有拦截请求，而是拦截了服务器端返回的响应。即如果服务器未返回正确的响应首部，则请求方不会收到任何数据。所以如果要支持跨域访问，需要浏览器和后台服务同时支持，如果这两个条件不能同时满足，则还是不能支持跨域访问。
   可以使用 CORS 来允许跨源访问。CORS 是 HTTP 的一部分，它允许服务端来指定哪些主机可以从这个服务端加载资源。

跨源资源共享（CORS）

   CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。
   CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE浏览器不能低于IE10。
   整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源通信没有差别，代码完全一样。浏览器一旦发现请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。
   因此，实现CORS通信的关键是服务器。只要服务器实现了CORS接口，就可以跨源通信。
   浏览器将CORS请求分成两类：简单请求和非简单请求。
   简单请求不会触发 CORS 预检请求，若请求满足所有下述条件，则该请求可视为“简单请求”：

1. 使用下列方法之一：

• GET
• HEAD
• POST

2. HTTP的头信息不超出以下几种字段：

• Accept（告知服务器客户端可以处理的内容类型）
• Accept-Language（允许客户端声明它可以理解的自然语言，以及优先选择的区域方言）
• Content-Type（用于指示资源的MIME类型 media type ）：仅限于text/plain、multipart/form-data、application/x-www-form-urlencoded
     对于简单请求，浏览器直接发出CORS请求。具体来说，就是在头信息之中，增加一个Origin字段。
     非简单请求与前述简单请求不同，是“需预检的请求”，这种请求要求必须首先使用 OPTIONS 方法发起一个预检请求到服务器，以获知服务器是否允许该实际请求。"预检请求“的使用，可以避免跨域请求对服务器的用户数据产生未预期的影响。

java后端解决跨域问题方法

1.通过Filter过滤器设置允许跨域
   Java类代码：

/*
 * 冬日蓝天
 * Copyright (c)
 */
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
 * 跨域设置
 *
 * @author 冬日蓝天
 * @version 1.0
 */
public class CorsFilter implements Filter {
    private static Logger logger = LoggerFactory.getLogger(CorsFilter.class);
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException
    {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        // 指定允许其他域名访问
        httpResponse.setHeader("Access-Control-Allow-Origin", "*");
        // 响应类型
        httpResponse.setHeader("Access-Control-Allow-Methods", " GET, POST, OPTIONS");
        // 响应头设置
        httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with, X-Custom-Header, HaiYi-Access-Token,token");
        // 响应有效时间
        httpResponse.setHeader("Access-Control-Max-Age", "86400");
        if("OPTIONS".equals(httpRequest.getMethod())) {
            logger.info(Integer.toString(httpResponse.getStatus()));
            // httpResponse.setStatus(200);
        }
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
        // TODO Auto-generated method stub
    }
}

   在web.xml中需要添加如下配置：

<!--为了允许跨域访问-->
    <filter>
        <filter-name>CorsFilter</filter-name>
        <filter-class>com.wind.nlp.filter.CorsFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CorsFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>