1. 無關Cookie跨域Ajax請求
客戶端
以 Jquery 的 ajax 為例:
$.ajax({ url : 'http://remote.domain.com/corsrequest', data : data, dataType: 'json', type : 'POST', crossDomain: true, contentType: "application/json", // POST時必須 ...
主要注意的是參數 crossDomain: true。發送Ajax時,Request header 中會包含跨域的額外信息,但不會含cookie。
服務器端
跨域的允許主要由服務器端控制。服務器端通過在響應的 header 中設置 Access-Control-Allow-Origin 及相關一系列參數,提供跨域訪問的允許策略。相關參數的設置介紹,可參見
[Access_control_CORS]
以Java為例:
/** * Spring Controller中的方法: */ @RequestMapping(value = "/corsrequest") @ResponseBody public Map<String, Object> mainHeaderInfo(HttpServletResponse response) { response.setHeader("Access-Control-Allow-Origin", "*"); ... }
- 通過在響應 header 中設置 ‘*’ 來允許來自所有域的跨域請求訪問。
response.setHeader("Access-Control-Allow-Origin", "*");
- 只允許來自特定域 http://my.domain.cn:8080 的跨域訪問
response.setHeader("Access-Control-Allow-Origin", "http://my.domain.cn:8080");
- 較靈活的設置方式,允許所有包含 mydomain.com 的域名訪問.
if(request.getHeader("Origin").contains("mydomain.com")) { response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); }
2. 帶Cookie的跨域Ajax請求
客戶端
$.ajax({ url : 'http://remote.domain.com/corsrequest', data : data, dataType: 'json', type : 'POST', xhrFields: { withCredentials: true }, crossDomain: true, contentType: "application/json", ...
通過設置 withCredentials: true ,發送Ajax時,Request header中便會帶上 Cookie 信息。
服務器端
相應的,對於客戶端的參數,服務器端也需要進行設置:
/** * Spring Controller中的方法: */ @RequestMapping(value = "/corsrequest") @ResponseBody public Map<String, Object> getUserBaseInfo(HttpServletResponse response) { if(request.getHeader("Origin").contains("woego.cn")) { response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); } response.setHeader("Access-Control-Allow-Credentials", "true"); ... }
對應客戶端的 xhrFields.withCredentials: true 參數,服務器端通過在響應 header 中設置 Access-Control-Allow-Credentials = true 來運行客戶端攜帶證書式訪問。通過對 Credentials 參數的設置,就可以保持跨域 Ajax 時的 Cookie。這里需要注意的是:
服務器端 Access-Control-Allow-Credentials = true時,參數Access-Control-Allow-Origin 的值不能為'*' 。