一、首先,什么是CORS?
1:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
2:它允许浏览器向跨源服务器,发出XMLHttpRequest(ajax)请求,从而克服了AJAX只能同源使用的限制。
二、看了什么是CORS,我们还要解释一个名词,什么是”同源策略(same origin policy)“?
答:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。
三、看完以上名词解释,有人就又产生了疑问,什么是是源?什么又是同源?
1:什么是源?
答:源origin就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。
2:什么是同源?
答:若url里面的协议、域名和端口号均相同则属于同源。
同源举例:判断下面的URL是否与 http://www.baidu.com:80/test/index.html 同源?
URL | 是否同源 | 原因 |
---|---|---|
http://www.baidu.com:80/dir/page.html | 是 | 协议、域名、端口都相同 |
http://www.google.com:80/test/index.html | 否 | 域名不相同 |
https://www.baidu.com:80/test/index.html | 否 | 协议不相同 |
http://www.baidu.com:8080/test/index.html | 否 | 端口号不相同 |
四、哪些操作不受同源限制?
1:页面中的链接,重定向以及表单提交是不会受到同源策略限制的;
2:跨域资源的引入是可以的。如嵌入到页面中的,,,等。
五、哪些操作受到同源限制?
1:在浏览器中发起一个AJAX请求,会受到同源策略限制。出现错误:Access-Control-Allow-Origin。
六、我们如何使用CORS解决同源限制?
方法一:使用 @CrossOrigin注解
@RestController
@RequestMapping("demos")
@CrossOrigin
public class DemoController {
@GetMapping
public String demos() {
System.out.println("========demo=======");
return "demo ok";
}
}
方法二:全局解决跨域问题
@Configuration
public class CorsConfig {
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedOrigin("*"); // 1允许任何域名使用
corsConfiguration.addAllowedHeader("*"); // 2允许任何头
corsConfiguration.addAllowedMethod("*"); // 3允许任何方法(post、get等)
source.registerCorsConfiguration("/**", corsConfiguration);//4处理所有请求的跨域配置
return new CorsFilter(source);
}
}