ssm整合篇----跨域访问
做完了ssm的整合以后,很多时候在做项目的时候,会发现出现跨域访问的问题,这个主要是出现在前后端分离的项目中。
那么我们该如何解决跨域访问呢?
为什么会出现跨域问题
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)
什么是跨域?
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域
协议: 常见的如 http,https,file
域名:域名不同也就意味着ip地址不同。
端口号:port,即使是同一台电脑,每个应用程序都占用不同的端口号。
非同源限制
-
无法读取非同源网页的 Cookie、LocalStorage 和 IndexedDB
-
无法接触非同源网页的 DOM
-
无法向非同源地址发送 AJAX 请求
跨域解决方案
1. 使用注解@CrossOrigin
- 直接在Controller类或方法前加上@CrossOrigin注解即可允许所有ip跨域访问
- 加在Controller类上表示该Controller的所有方法都支持跨域
- 加在Controller中的方法上表示仅该方法支持跨域
@CrossOrigin // 允许所有ip跨域
@CrossOrigin(origins = "192.168.0.0") // 允许指定ip跨域
2. 在Springmvc配置文件中配置跨域请求
<!-- 配置接口跨域请求-->
<mvc:cors>
<!--
allowed-origins="*" 表示跨域方案对所有请求都生效
allowed-methods="POST,GET,DELETE,PUT" 允许对请求方式
allowed-headers="Content-Type, Access-Control-Allow-Headers,Authorization,X-Requested-with" 允许对请求头
allow-credentials="true" 表示是否可以将对请求的响应暴露给页面
-->
<mvc:mapping path="/**" allowed-origins="*"
allowed-methods="POST,GET,DELETE,PUT"
allowed-headers="Content-Type, Access-Control-Allow-Headers,Authorization,X-Requested-with"
allow-credentials="true"
/>
</mvc:cors>
3. 使用cors-filter包配置跨域
<!-- cors-filter配置跨域 -->
<dependency>
<groupId>com.thetransactioncompany</groupId>
<artifactId>cors-filter</artifactId>
<version>2.10</version>
</dependency>
在web.xml注册filter跨域过滤器
<filter>
<filter-name>cors</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
<init-param>
<param-name>cors.allowOrigin</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.supportedMethods</param-name>
<param-value>GET,POST,PUT,DELETE</param-value>
</init-param>
<init-param>
<param-name>cors.supportedHeaders</param-name>
<param-value>Content-Type, Access-Control-Allow-Headers,Authorization,X-Requested-with</param-value>
</init-param>
<init-param>
<param-name>cors.exposedHeaders</param-name>
<param-value>Set-cookie</param-value>
</init-param>
<init-param>
<param-name>cors.supportsCredentials</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>cors</filter-name>
<!-- 表示拦截所有请求-->
<url-pattern>/*</url-pattern>
</filter-mapping>
4. 当然,也可以手写跨域请求过滤器
@Filter("/*")
public class CrossingFilter implements Filter {
private boolean isCross = false;
@Override
public void destroy() {
isCross = false;
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
if (isCross) {
HttpServletRequest httpServletRequest = (HttpServletRequest) request;
HttpServletResponse httpServletResponse = (HttpServletResponse) response;
System.out.println("拦截请求: " + httpServletRequest.getServletPath());
httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
// httpServletResponse.setHeader("Access-Control-Allow-Methods", "*"); // 表示所有请求都有效
httpServletResponse.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
httpServletResponse.setHeader("Access-Control-Max-Age", "0");
httpServletResponse.setHeader("Access-Control-Allow-Headers",
"Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
httpServletResponse.setHeader("XDomainRequestAllowed", "1");
}
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
String isCrossStr = filterConfig.getInitParameter("IsCross");
isCross = isCrossStr.equals("true") ? true : false;
System.out.println("跨域开启状态:" + isCrossStr);
}
}
跨域请求对基础方案就是这几种。也还有更好的解决方案,但暂时还不了解。