什么是跨域
简单的说即为浏览器限制访问A站点下的js代码对B站点下的url进行ajax请求。比如说,前端域名是www.abc.com,那么在当前环境中运行的js代码,出于安全考虑,访问www.xyz.com域名下的资源,是受到限制的。现代浏览器默认都会基于安全原因而阻止跨域的ajax请求,这是现代浏览器中必备的功能,但是往往给开发带来不便。特别是对我这样后台开发人员来讲,这个事情简直神奇。
正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)
Spring MVC 从4.2版本开始增加了对CORS的支持
在spring MVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。
二、使用方法
1、某个方法支持跨域访问
在方法上增加@CrossOrigin注解,如下:
Java代码
- @RequestMapping("/crossDomain2")
- @ResponseBody
- @CrossOrigin
- public String crossDomain2(HttpServletRequest req, HttpServletResponse res, String name){
- ……
- ……
- }
其中@CrossOrigin中的2个参数:
origins : 允许可访问的域列表
Java代码
- List of allowed origins, e.g. "http://domain1.com".
- These values are placed in the Access-Control-Allow-Origin header of both the pre-flight response and the actual response. "*" means that all origins are allowed.
- If undefined, all origins are allowed.
maxAge:飞行前响应的缓存持续时间的最大年龄(以秒为单位)。
Java代码
- The maximum age (in seconds) of the cache duration for pre-flight responses.
- This property controls the value of the Access-Control-Max-Age header in the pre-flight response.
- Setting this to a reasonable value can reduce the number of pre-flight request/response interactions required by the browser. A negative value means undefined.
- If undefined, max age is set to 1800 seconds (i.e., 30 minutes).
2、整个Controller都支持跨域访问,在类上面加上注解@CrossOrigin,如下:
Java代码
- @Controller
- @CrossOrigin
- public class TestController {
- ……
- ……
- }
3、自定义规则支持全局跨域访问,在spring-mvc.xml文件中配置映射路径,如下:
Java代码
- <mvc:cors>
- <mvc:mapping path="/cross/*"/>
- </mvc:cors>
如果整个项目所有方法都可以访问,则可以这样配置
Xml代码
- <mvc:cors>
- <mvc:mapping path="/**"/>
- </mvc:cors>
其中* 表示匹配到下一层
** 表示后面不管有多少层,都能匹配。
如:
Java代码
- <mvc:cors>
- <mvc:mapping path="/cross/*"/>
- </mvc:cors>
这个可以匹配到的路径有:
/cross/aaa
/cross/bbbb
不能匹配的:
/corss/aaa/bbb
因为* 只能匹配到下一层路径,如果想后面不管多少层都可以匹配,配置如下:
Xml代码
- <mvc:cors>
- <mvc:mapping path="/cross/**"/>
- </mvc:cors>
就是一颗星(*) 变成两颗星(**)
上面表示有/cross/路径的请求都支持跨域访问,也可以增加其它的,如下:
Java代码
- <mvc:cors>
- <mvc:mapping path="/cross/**" allowed-origins="" max-age="2500"/>
- <mvc:mapping path="/domain/**"/>
- </mvc:cors>
请求路径有/cross/,方法示例如下:
Java代码
- @RequestMapping("/cross/crossDomain")
- @ResponseBody
- public String crossDomain(HttpServletRequest req, HttpServletResponse res, String name){
- ……
- ……
- }
官方文档见:http://spring.io/blog/2015/06/08/cors-support-in-spring-framework