允许跨域访问
CORS ( Cross Origin Resource Sharing,跨域资源共享)机制允许Web应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。浏览器支持在API容器中(如XMLHttpRequest或Fetch )使用CORS,以降低跨域HTTP请求所带来的风险。
本节将介绍如何在Spring Boot应用中,实现跨域访问资源。
什么是跨域访问
当一个资源从与该资源本身所在的服务器不同的域或端口请求一一个资源时, 资源会发起- - 个跨域HTTP请求。
比如,站点ht://example-a.com 的某HTML页面通过<img>的src请求
htp://example-b.com/image.jpg。网络上的许多页面都会加载来自不同域的CSS样式表、图像和脚本等资源。
W3C制定了CORS的相关规范,见hts://ww.w3.org/TR/cors/。出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。例如,XMLHttpRequest 和Fetch遵循同源策略。因此,使用XMLHtpRequest或Fetch的Web应用程序只能将HTTP请求发送到其自己的域。为了改进Web应用程序,开发人员要求浏览器厂商允许跨域请求。
如何识别是跨域行为
识别是否具有跨域行为,是由同源政策决定的。同源政策由Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。所谓“同源”, 指的是“三个相同”。
协议相同。
●域名相同。
● 端口相同。
举例来说,
htp://example.com/page.html 这个网址,协议是htp://, 域名是www.example.com,端口是80 (默认端口可以省略)。它的同源情况如下。
http://example. com/other.html:同源。
●
ht://www.example.com/other.html: 不同源,域名不同。
●
htp://v2.example.com/other.html: 不同源,域名不同。
●
htp://example.com:81/other.html: 不同源,端口不同。
<