首先了解几个东西
- 同源策列:一样的协议,域名,端口,即为同源,也叫同域。
- 跨域:就是上面中的任何一个不同即为跨域。
- CORS:跨域资源共享,是一种基于http请求头的机制
CORS的出现本质上是为了请求数据的安全,降低请求的风险。
当我们发起一个请求,如果我们所在的域不在服务器允许的域中,那么服务器就不会响应本次的数据回来。
(一般具体的请求是,先发送一个预请求到服务器,服务器告诉我,我有没有资格去访问他,如果有,客户端就会再发一次请求,服务器响应数据,如果没有服务器就直接不会响应数据回来)。
而请求有两种,一种是符合下列标准的简单请求
1.使用下列方法之一:
GET
HEAD
POST
2.除了被用户代理自动设置的首部字段(例如 Connection ,User-Agent)和在 Fetch 规范中定义为 禁用首部名称 的其他首部,允许人为设置的字段为 Fetch 规范定义的 对 CORS 安全的首部字段集合。该集合为:
Accept
Accept-Language
Content-Language
Content-Type (需要注意额外的限制)
DPR
Downlink
Save-Data
Viewport-Width
Width
3.Content-Type 的值仅限于下列三者之一:
text/plain
multipart/form-data
application/x-www-form-urlencoded
4.请求中的任意XMLHttpRequestUpload 对象均没有注册任何事件监听器;5.XMLHttpRequestUpload 对象可以使用 XMLHttpRequest.upload 属性访问。
请求中没有使用 ReadableStream 对象。
这样的请求就不需要发送预检测请求
不符合则需要发送预检测请求。
上面是介绍CORS等问题,更多内容可以参考这篇文章:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
下面来讲解如何解决跨域问题:既然知道是http头的机制,那么只需要给定一些指定的请求头和响应头,问题即可解决。
下面分别将客户端的请求头,和服务器的响应头。
客户端:
- Origin,表示客户端的域是什么,比如Origin: http://a.b,就表示客户端实在http://a.b这个域中。
服务器:
- Access-Control-Allow-Origin,表示允许访问的客户端域,比如Access-Control-Allow-Origin:http://a.b,就表示允许http://a.b访问服务器,其他的则不会响应数据。如果是Access-Control-Allow-Origin:*,则表示允许所有域进行访问。
- Access-Control-Allow-Methods,表示允许请求的方法类型,比如Access-Control-Allow-Methods:get,就允许get请求的进行访问。
那么在springMVC中应该如何进行配置呢。
第一种方法:注解
使用@CrossOrigin表示允许指定的域访问,不写参数默认是*.直接写在控制器上或者方法上即可。
origins:允许访问的域
allowedHeaders:允许的请求头列表
exposedHeaders :用户代理将允许客户端访问的响应头列表。
methods:请求的方式
maxAge:缓存预请求的最大时间。
第二种方式:配置文件
在springMVC中添加如下配置
参数和注解配置的对应。
网络上还有第三种方式:拦截器,往HttpServletRespon中返回响应体。感兴趣可以自行搜索。
文章参考:
https://blog.csdn.net/qq_42120178/article/details/102873157
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS