跨域
什么是跨域
当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。
| 当前页面url | 被请求页面url | 是否跨域 | 原因 |
|---|---|---|---|
| http://www.test.com/ | http://www.test.com/index.html | 否 | 同源协议、域名、端口号相同 |
| http://www.test.com/ | http://www.test.com/index.html | 跨域 | 协议不同(http/https) |
| http://www.test.com/ | http://www.baidu.com/ | 跨域 | 主域名不同(test/baidu) |
| http://www.test.com/ | http://blog.test.com/ | 跨域 | 子域名不同(www/blog) |
| http://www.test.com:8080/ | http://www.test.com:7001/ | 跨域 | 端口号不同(8080/7001) |
为什么会出现跨域问题
出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port)
解决方案
但很多请求下我们不得不进行跨域请求,克服跨域限制的常见的方法有:
- (1)通过jsonp跨域
JSONP实现跨域请求的原理简单的说,就是动态创建< script>标签,然后利用< script>的src不受同源策略约束来跨域获取数据。
JSONP 由两部分组成:回调函数和数据。回调函数是当响应到来时应该在页面中调用的函数。回调函数的名字一般是在请求中指定的。而数据就是传入回调函数中的 JSON 数据。
具体见:jsonp原理 - (2)使用代理服务器
使用代理方式跨域更加直接,因为同源限制是浏览器实现的。如果请求不是从浏览器发起的,就不存在跨域问题了。 - (3)CORS,即跨域资源共享
需要浏览器和服务器同时支持,目前,所有浏览器都支持该功能。因此,实现CORS通信的关键是服务器。只要服务器实现了CORS接口,就可以跨源通信。重点关注header中的Origin和Access-Control-Allow-Origin两个字段。
@CrossOrigin可以处理跨域请求,让你能访问不是一个域的文件。
描述:
Spring Framework 4.2 GA为CORS提供了第一类支持,使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以SpringMVC的版本要在4.2或以上版本才支持 @CrossOrigin
使用方法:
Spring Boot CORS 实现
spring mvc 4.2版本增加了对cors的支持,通过spring boot可以非常简单的实现跨域访问。
使用@CrossOrigin 注解实现(局部)
方法注解 ,仅对该接口方法有效:
@CrossOrigin(origins = {"http://localhost:8080", "null"}) @RequestMapping(value = "/test", method = RequestMethod.GET) public String greetings() { return "{\"project\":\"it is a test\"}"; }
类
@RestController @RequestMapping("questions") /* origins:是允许访问的列表(origins=“网址”) maxAge:准备响应前的 缓存持续的 最大时间 */ @CrossOrigin(origins = {"*"}) public class TestController { @Autowired private DemoService demoService; @RequestMapping("all") public R all(){ .............. } }
289
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
