1.跨域的问题是浏览器的原因,允不允许跨域是服务端来决定的。
2.整个跨域请求,包括两个步骤,首先是浏览器发起跨域请求,即option,看看服务端的意思,如果不允许,那就算了,直接报跨域错误,如果允许,那就不客气了,第二步就发起真正的请求。
2.1完成第一步有三种方式
//1.局部允许 在Controller 的方法中使用 @CrossOrigin
@CrossOrigin //允许跨域
@RequestMapping(value ="/getLabelContents.do", produces="application/json;charset=UTF-8")
@ResponseBody
public String getLabelContents(HttpServletRequest request){
return service.getLabelContents(request);
}
//2.全局允许 在 WebMvcConfigurer 中重写 addCorsMappings方法
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("GET", "HEAD", "POST", "PUT", "DELETE", "OPTIONS")
.allowCredentials(true)
.maxAge(3600)
.allowedHeaders("*");
}
//3.通过serlet过滤器
@Component
public class CORSFilter implements Filter {
public void init(FilterConfig filterConfig) {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
//放行所有,类似*,这里*无效
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
//允许请求方式
response.setHeader("Access-Control-Allow-Methods", "POST,PUT, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
//需要放行header头部字段 如需鉴权字段,自行添加,如Authorization
response.setHeader("Access-Control-Allow-Headers", "content-type,x-requested-with,token,Authorization,authorization");
try {
chain.doFilter(request, response);
} catch (Exception e) {
//log.error("CORS过滤器放行异常:",e);
}
}
public void destroy() {
}
}
【注】1.浏览器只在乎后端有没有允许,谁回复他允许,无所谓。
2.目前使用网上的方法配置shiro过滤器,无法达到允许跨域请求。
2.2 光完成第一步,第二步会被shiro拦截。
// 在 ShiroConfig 中的 shirFilter方法中配置下面的设置,一点用也没有
Map<String, Filter> filtersMap = shiroFilterFactoryBean.getFilters();
filtersMap.put("authc", new TokenFilter()); //财哥 2021/9/4 14:04 加入自定义过滤器
//最直接粗暴的就是,允许匿名访问
filterChainDefinitionMap.put(managerPath + "/xjc/label/getLabelContents.do", "anon");