在實現不同端口號之間訪問時遇到了跨域報錯問題
前言
從 http://www.a.com/test.html 發起一個跨域請求,
請求的地址為: http://www.b.com/test.PH
在本地用ajax跨域訪問請求時報錯:
XMLHttpRequest cannot loadhttp://www.zjblogs.com/. No 'Access-Control-Allow-Origin'
header is present on the requested resource. Origin 'null' is therefore not allowed access.
1
2
問題原因
W3C標准里是這么實現HTTP跨域請求的, Cross-Origin Resource Sharing
簡單的來說,就是跨域的目標服務器要返回一系列的Headers,通過這些Headers來控制是否同意跨域。
Access-Control-Allow-Origin HTTP Response Header
Access-Control-Max-Age HTTP Response Header
Access-Control-Allow-Credentials HTTP Response Header
Access-Control-Allow-Methods HTTP Response Header
Access-Control-Allow-Headers HTTP Response Header
Origin HTTP Request Header
Access-Control-Request-Method HTTP Request Header
Access-Control-Request-Headers HTTP Request Header
在 Request 包和 Response 包中都有一些。
其中最敏感的就是 Access-Control-Allow-Origin 這個 Header, 他是W3C標准里用來檢查該跨域請求是否可以被通過。 (Access Control Check)
解決方法
1、在java服務器端的filter或者servlet里面添加
response.setHeader("Access-Control-Allow-Origin", "*");
2、如果請求的url是aspx頁面,則需要在aspx頁面中添加代碼
Response.AddHeader("Access-Control-Allow-Origin", "*");
3、如果請求的url是PHP頁面
header("Access-Control-Allow-Origin: *");
4、如果請求的url是靜態的html頁面,則需要在頁面中添加meta標簽代碼:
<meta http-equiv="Access-Control-Allow-Origin" content="*" />
“Access-Control-Allow-Origin”表示允許跨域訪問,“*”表示允許所有來源進行跨域訪問,這里也可以替換為特定的域名或ip。
很顯然,這種方式對非網站擁有人員來說是不能做到的。而且此種方式很容易受到CSRF攻擊。
如果還不行,就把這些都加上吧
// 指定允許其他域名訪問
1.header('Access-Control-Allow-Origin:*');
// 響應類型
2.header('Access-Control-Allow-Methods:POST');
// 響應頭設置
3.header('Access-Control-Allow-Headers:x-requested-with,content-type');