http://www.imooc.com/learn/947
跨域问题产生的原因:1.浏览器安全限制2.跨域(域名,协议,端口任何一个不同就属于跨域)3.发送的是XHR(xmlhttprequest)请求。只有这三者同时满足的时候才会产生跨域问题,跨域的产生是浏览器为了安全作出的限制,与服务器是无关的!
解决方案:由于 跨域的产生需要三个条件同时满足,所以解决跨域问题的方案就是让其中某个条件不满足即可!
1.禁止浏览器检查,设置浏览器不做跨域限制(此方案实际生产不会用,不可能让每个用户都设置自己的 浏览器)
2.不发送xhr形式的请求(jsonp就是这种方式,jsonp方式的请求发送的请求类型是script请求,而不再是xhr的请求)
从上图可以看出,请求类型变成了script,返回值得类型是JavaScript而不再是json,请求的url中多了callback参数
但是jsonp的解决方案局限性很大,一方面需要服务端改动代码,另一方面就是script请求只能是get请求,那使用jsonp也就只能发get请求,满足不了实际需求!!第三方面发送的不再是xhr请求,那么xhr请求的一些特性(如异步,事件)就用不了
3.解决真正跨域的问题。
方向一:被调用方解决
1.后端添加过滤器解决跨域问题
https://blog.csdn.net/qq_42715494/article/details/86496027
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import javax.servlet.Filter;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
//@WebFilter(filterName = "CORSFilter", urlPatterns = {"/*"})
//@Order(value = 1)
//@Configuration 这3个注解的作用 等同与web.xml 中配置的过滤映射 ,可以2选1
public class CorsFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {
System.out.println("Filter 过滤器 执行 了");
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
// 响应标头指定 指定可以访问资源的URI路径,一般请求我们都会直接设置为*,如果带cookie跨域,那么必须是完全匹 配,并且要设置Access-Control-Allow-Credentials头为true
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
//响应标头指定响应访问所述资源到时允许的一种或多种方法
response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
//设置 缓存可以生存的最大秒数
response.setHeader("Access-Control-Max-Age", "3600");
//设置 受支持请求标头(自定义 可以访问的请求头 例如:Token)
response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Token");
//自定义 可以被访问的响应头
response.setHeader("Access-Control-Expose-Headers","checkTokenResult");
// 指示的请求的响应是否可以暴露于该页面。当true值返回时它可以被暴露
response.setHeader("Access-Control-Allow-Credentials","true");
filterChain.doFilter(servletRequest, servletResponse);
}
@Override
public void destroy() {
}
}
2.通过Nginx解决跨域(原理也是设置响应头)
3.spring框架的解决方案
在controller上增加@crosorigin的注解就可以了
方向二:调用方解决
1. 隐藏跨域(https://blog.csdn.net/weixin_34233421/article/details/88269194)