1.关于跨域:
跨域其实主要是因为浏览器的同源策略的限制,而服务器之间是没有的,请求只需要ip和端口存在正确即可
协议、域名、端口都相同才叫同源,
同源政策的目的,是为了保证用户信息的安全,防止恶意的网站窃取数据。
同源限制:1)无法读取不同源的 Cookie、LocalStorage 和 IndexDB 。
2)无法获得不同源的DOM 。
假设:平时登录银行,用的www.yinhang.com,现在有一个钓鱼网站,www.yinghang.com,钓鱼网站窃取了正常的网站的DOM,网址也是差不多,一般人是看不出来的。一旦输入了,账号密码,对方只需要console.log(XX),那就危险了!还有就是,如果一个网站,跳另一个网站,cookie允许随意携带,那危险也可想而知。
所以浏览器的同源限制还是很有必要的,不说绝对,但能避免很多潜在危险了!
2.那么当处于开发人员,不得不进行跨域,那又如何应对呢!
其实关于跨域的方法,网上案例很多,可以前端客户端处理,也可以后台服务器配置。
前端操作的:,什么jsonp,iframe等等,作为后端dog就不详细说了,网上应该蛮多
后台服务器配置的普通跨域请求: 只服务端设置Access-Control-Allow-Origin即可,前端无须设置。大部分情况,大家都喜欢将Access-Control-Allow-Origin设置为*,即任意外域都能访问该资源。
附带凭证信息的请求:,需要前后端都要配置
CORS预请求会将用户的身份认证凭据排除在外,包括cookie、http-authentication报头等。如果需要支持用户凭证,需要在XHR的withCredentials属性设置为true,同时Access-control-allow-origin不能设置为*。在服务器端会利用响应报头Access-Control-Allow-Credentials来声明是否支持用户凭证。同时,利用withCredentials这个属性,也可以检测浏览器是否支持CORS。
但是在实践过程中,一般我们喜欢让服务器来多做一些处理,从而尽可能让前端简化,所以这里主要讲了一个,究极简单的,后端服务器,处理跨域问题:
只需要将这个代码在服务器端filter中加入:CorsConfig.java文件即可:这里前端也没做操作,只是允许浏览器的跨域请求,带cookie等身份认证凭据,则前后端都还需要配置
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
/**
* 跨域配置
* @author zp
*/
@Configuration
public class CorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
// 允许任何域名使用
corsConfiguration.addAllowedOrigin("*");
// 允许任何头
corsConfiguration.addAllowedHeader("*");
// 允许任何方法(post、get等)
corsConfiguration.addAllowedMethod("*");
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
// 对接口配置跨域设置
source.registerCorsConfiguration("/**", buildConfig());
return new CorsFilter(source);
}
}
ojbk,以前只知道有这个问题,解决什么的,都是等大佬们配置好,使用即可,今天渐渐去研究了一番,还是可以的!加油,继续写bug,改bug!挺有意思的呢!