vue axios的跨域前后端解決方案

原因
出於安全考慮，瀏覽器有一個同源策略。瀏覽器中，異步請求的地址與目標地址的協議、域名和端口號三者與當前有不同，就屬於跨域請求。

限制跨域訪問是瀏覽器的一個安全策略，因為如果沒有這個策略，那么就有被跨站攻擊的危險。比如，攻擊者在自己的網站A放置一個表單，這個表單發起DELETE請求，刪除某個用戶在B網站上的個人資料。如果沒有同源策略保護，那么在同一個瀏覽器內，如果用戶已經登錄了B網站，這個刪除的請求就會被接受，導致在用戶不知情的情況下自己在B網站中的資料被刪除。

解決方式
瀏覽器的同源策略提升了安全性，但是給需要在不同域名下開發的開發者帶來了跨域問題。

解決跨域的問題主要有：
jsonp和cors。jsonp是利用 script 標簽可以跨域加載的特性而創造出來的一種非正式的跨域解決方案。在實際開發中，推薦使用cors，即在服務端返回時加入允許跨域的請求頭，允許指定域名的跨域訪問。

千萬要小心！這種直接加 * 號的做法是相當危險的，千萬別這么做！

response.addHeader("Access-Control-Allow-Origin", "*");

正確的做法：

1. 創建一個 Filter 類
/**
 * 使用Filter的方式解決跨域問題
 */
public class CorsFilter implements Filter {
    private static final List<String> ALLOW_ORIGINS = Config.getListString("allowOrigins", ",");
    private static final String REQUEST_OPTIONS = "OPTIONS";
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String orgHeader = request.getHeader(HttpHeaders.ORIGIN);
        if (orgHeader != null && ALLOW_ORIGINS.contains(orgHeader)) {
            // 允許的跨域的域名
            response.addHeader("Access-Control-Allow-Origin", orgHeader);
            // 允許攜帶 cookies 等認證信息
            response.addHeader("Access-Control-Allow-Credentials", "true");
            // 允許跨域的方法
            response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PATCH, PUT, HEAD");
            // 允許跨域請求攜帶的請求頭
            response.addHeader("Access-Control-Allow-Headers", "Content-Type, Content-Length, Authorization, Accept, X-Requested-With");
            // 返回結果可以用於緩存的最長時間，單位是秒。-1表示禁用
            response.addHeader("Access-Control-Max-Age", "3600");
            // 跨域預檢請求，直接返回
            if (REQUEST_OPTIONS.equalsIgnoreCase(request.getMethod())) {
                return;
            }
        }
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

2. 在 web.xml 的最前面注冊這個 Filter
<filter>
    <filter-name>corsfilter</filter-name>
     <filter-class>com.bj58.crm.plus.filter.CorsFilter</filter-class>
 </filter>
 <filter-mapping>
     <filter-name>corsfilter</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
 </filter-mapping>

前端使用 axios 可以先進行封裝
http-util.js

let axios = require("axios");
let qs = require("qs");
axios.defaults.withCredentials = true;
axios.defaults.headers.post["Content-Type"] = "application/x-www-form-urlencoded";

function post(url, param) {
   return axios.post(url, qs.stringify(param))
}

function get(url, param) {
  axios.get(url, {params: param})
}

export default {
  get,
  post
};