目录

跨域

为什么会有跨域

解决跨域问题的方案

CORS解决跨域

简单请求

特殊请求

springboot解决跨域

跨域

为什么会有跨域

跨域问题 是浏览器对于ajax请求的一种安全限制:

一个页面发起的ajax请求,只能是于当前页同域名的路径

 

解决跨域问题的方案

  • jsonp

    最早的解决方案,利用script标签可以跨域的原理实现

    缺点:

    • 需要服务器端的支持

    • 只能发起GET请求

  • nginx反向代理

    原理:利用nginx反向代理把跨域变为不跨域,支持各种请求方式

    缺点:

    • 需要在nginx进行额外配置,语义不清晰

  • CORS

    规范化的跨域请求解决方案,安全可靠

    优势:

    • 在服务端控制是否允许跨域,可自定义规则

    • 支持各种请求方式

    缺点:

    • 会产生额外的请求

 

CORS解决跨域

CORS是一个W3C标准,全称是“跨域资源共享”(Cross-orign resource sharing)

它允许浏览器向跨源服务器发出 XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10

浏览器讲ajax请求分为两类:简单请求、特殊请求

 

简单请求

满足一下两大条件,就属于简单请求:

(1)请求方法是以下三种办法之一:

  • HEAD

  • GET

  • POST

(2)HTTP的头信息不超出以下几种字段:

  • Accept

  • Accept-Language

  • Content-Language

  • Last-Event-ID

  • Last-Event-ID

  • Content-Type只限于三个值:

    • application/x-www/form-urlencoded

    • multipart/form-data

    • text/plain

如果ajax请求是简单请求时,浏览器会在请求头重懈怠一个字段:Origin

// 当前请求属于哪个域(服务器根据这个只决定是否允许跨域)

Origin:http://manage.leyou.com

如果服务器允许跨域,会在响应头中携带一下信息:

// 可接受的域,是一个具体的域或者任意(*)

Access-Control-Allow-Orign:http://manage.leyou.com

// 是否允许携带Cookie

Access-Control-Allow-Credentials:true

 

特殊请求

不符合简单请求的条件,会被浏览器判定为特殊请求

特殊请求会在正式通信之前,增加一次HTTP查询请求,成为“预检”请求(preflight)

浏览器先询问服务器,当前网页所载的域名是否在服务器的许可名单之中,以及可以使用那些HTTP动词和头信息字段。只有得到肯定的答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错

HTTP Request Demo:

OPTIONS /user HTTP/1.1
Origin:http://manage.leyou.com
Access-Control-Request-Method:PUT
Access-Control-Request-Headers:X-Custom-Header
Host:api.leyou.com
Accept-Language:en-US

与简单请求相比,除了Origin以外,特殊请求多了两个头:

  • Access-Control-Request-Methods:接下来会用到的请求方式

  • Access-Control-Request-Headers:会额外用到的头信息

服务器如果许可跨域,会发出响应:

HTTP/1.1 200 OK
Date: ...
Server: ///
Access-Control-Allow-Origin: http://manage.leyou.com
Access-Control-Allow-Credentials: true
// 允许访问的方式
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
// 允许携带的头
Access-Control-Allow-Headers: x-Custom-Header
// 课次许可的有效时长,单位是s,过期之前无需再预检
Access-Control-Allow-Max-Age: 3600
Content-Type: text/html;charset=utf-8

 

springboot解决跨域

@EnableWebMvc
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
​
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 注册所有请求
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowCredentials(false)
                .maxAge(3600);
    }
}