當它請求的一個資源是從一個與它本身提供的第一個資源的不同的域名時,一個資源會發起一個跨域HTTP請求(Cross-site HTTP request)。
比如說,域名A ( http://domaina.example ) 的某 Web 應用程序中通過< img>標簽引入了域名B( http://domainb.foo ) 站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會導致瀏覽器發起一個跨站 HTTP 請求。
在當今的 Web 開發中,使用跨站 HTTP 請求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成為了一種普遍且流行的方式。
正如大家所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。比如,使用 XMLHttpRequest 對象發起 HTTP 請求就必須遵守同源策略。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。為了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望着在不丟失安全的前提下,Web 應用技術能越來越強大、越來越豐富。比如,可以使用 XMLHttpRequest
發起跨站 HTTP 請求。(這段描述跨域不准確,跨域並非瀏覽器限制了發起跨站請求,而是跨站請求可以正常發起,但是返回結果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理,請求是發送到了后端服務器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)
引自:
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
源碼
package com.beenoisy.springboot.way.common.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration
public class CorsConfig {
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.addAllowedOrigin("*"); // 1
corsConfiguration.addAllowedHeader("*"); // 2
corsConfiguration.addAllowedMethod("*"); // 3
return corsConfiguration;
}
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", buildConfig()); // 4
return new CorsFilter(source);
}
}- 允許任何域名使用
- 允許任何頭
- 允許任何方法(post、get等)