原文:https://my.oschina.net/wangnian/blog/689020
前言:今天解決js跨域,搞了一下午,嗚嗚,以下是我整理的一些解決方法
介紹: 跨站 HTTP 請求(Cross-site HTTP request)是指發起請求的資源所在域不同於該請求所指向資源所在的域的 HTTP 請求。比如說,域名A(http://domaina.example)的某 Web 應用程序中通過標簽引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會導致瀏覽器發起一個跨站 HTTP 請求。在當今的 Web 開發中,使用跨站 HTTP 請求加載各類資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成為了一種普遍且流行的方式。
正如大家所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。比如,使用 XMLHttpRequest 對象發起 HTTP 請求就必須遵守同源策略(same-origin policy)。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。為了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望着在不丟失安全的前提下,Web 應用技術能越來越強大、越來越豐富。比如,可以使用 XMLHttpRequest 發起跨站 HTTP 請求。(這段描述跨域不准確,跨域並非瀏覽器限制了發起跨站請求,而是跨站請求可以正常發起,但是返回結果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請求是發送到了后端服務器無論是否跨域!注意:有些瀏覽器不允許從HTTPS的域跨域訪問HTTP,比如Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)
普通參數跨域
在response的頭文件添加
httpServletResponse.setHeader("Access-Control-Allow-Origin","*"); httpServletResponse.setHeader("Access-Control-Allow-Methods","POST"); httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control"); httpServletResponse.setHeader("Allow","POST"); Access-Control-Allow-Origin:| * // 授權的源控制 Access-Control-Max-Age:// 授權的時間 Access-Control-Allow-Credentials: true | false // 控制是否開啟與Ajax的Cookie提交方式 Access-Control-Allow-Methods:[,]* // 允許請求的HTTP Method Access-Control-Allow-Headers:[,]* // 控制哪些header能發送真正的請求 觀察響應頭
帶headr請求跨域
這樣客戶端需要發起 OPTIONS請求, 可以說是一個“預請求”,用於探測后續真正需要發起的跨域 POST 請求對於服務器來說是否是安全可接受的,因為跨域提交數據對於服務器來說可能存在很大的安全問題。
因為Springmvc模式是掛壁OPTIONS請求的,所以需要開啟
<servlet> <servlet-name>application</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>dispatchOptionsRequest</param-name> <param-value>true</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet>
Spring MVC 從4.2版本開始增加了對CORS的支持
在spring MVC 中增加CORS支持非常簡單,可以配置全局的規則,也可以使用@CrossOrigin注解進行細粒度的配置。
使用@CrossOrigin注解
先通過源碼看看該注解支持的屬性:
在Controller上使用@CrossOrigin注解
@CrossOrigin(origins = "*", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController { @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... } }這里指定當前的AccountController中所有的方法可以處理所有域上的請求,
在方法上使用@CrossOrigin注解
@CrossOrigin(maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController { @CrossOrigin("http://domain2.com") @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... } }在這個例子中,AccountController類上也有@CrossOrigin注解,retrieve方法上也有注解,Spring會合並兩個注解的屬性一起使用。
CORS全局配置
除了細粒度基於注解的配置,你可能會想定義一些全局CORS的配置。這類似於使用過濾器,但可以在Spring MVC中聲明,並結合細粒度@CrossOrigin配置。默認情況下所有的域名和GET、HEAD和POST方法都是允許的。
基於JAVA的配置
看下面例子:
@Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**"); } }您可以輕松地更改任何屬性,以及配置適用於特定的路徑模式的CORS:
如果你使用Spring Boot,你可以通過這種方式方便的進行配置。
@Configuration public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://domain2.com") .allowedMethods("PUT", "DELETE") .allowedHeaders("header1", "header2", "header3") .exposedHeaders("header1", "header2") .allowCredentials(false).maxAge(3600); } }不限制任何請求(方便復制粘貼)
@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "TRACE");
}
}
基於XML的配置
<mvc:cors> <mvc:mapping path="/**" /> </mvc:cors>這個配置和上面Java方式的第一種作用一樣。
同樣,你可以做更復雜的配置:
<mvc:cors> <mvc:mapping path="/api/**" allowed-origins="http://domain1.com, http://domain2.com" allowed-methods="GET, PUT" allowed-headers="header1, header2, header3" exposed-headers="header1, header2" allow-credentials="false" max-age="123" /> <mvc:mapping path="/resources/**" allowed-origins="http://domain1.com" /> </mvc:cors>