浅谈跨域问题,CORS跨域资源共享

1,何为跨域?

在理解跨域问题之前,你先要了解同源策略和URL,简单叙述:

1)同源策略

三同:协议相同,域名相同,端口相同;

目的:保证用户信息安全,防止恶意网站窃取数据。同源策略是必须的,否则cookie可以共享。

2)URL

三部分组成:

<传输协议>://<internet主机域名或者IP地址:端口号>/<路径>

协议://域名:端口号/路径

http://www.123.com:8080/index.html

你只需要简单理解:协议,域名,端口号不同即为跨域,同时注意:域名www.123.com 对应域名ip:192.169.1.88 虽然都指向同一服务器,但也属于跨域

2,如何解决跨域问题

很简单,在此提供两种方法:

1)局部配置,在每个controller控制层加上注解@CrossOrigin即可;

浅谈跨域问题,CORS跨域资源共享

2)全局配置,写个配置类,继承WebMvcConfigurerAdapter ,重写addCorsMappings方法即可,代码如下:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; @Configuration
public class CorsConfig extends WebMvcConfigurerAdapter { @Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("*")
.allowCredentials(true) //是否允许发送cookie
.allowedMethods("GET", "POST", "DELETE", "PUT")
.maxAge(3600);
} }

到此你基本了解并解决跨域问题,如果你只想知其然而不想知其所以然,到此即可。

3,CORS

跨域资源共享(corss-origin resource sharing):CORS需要浏览器和服务器同时支持。目前所有浏览器都支持该功能,IE浏览器不能低于IE10。

整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。

浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。因此,实现CORS通信的关键是服务器。

只要服务器实现了CORS接口,就可以跨源通信。

CROS常见header:

1)Access-Control-Allow-Origin:http://localhost.com 表示允许http://localhost.com发起跨域请求。

2)Access-Control-Max-Age:3600 表示在3600 秒内不需要再发送预校验请求。

3)Access-Control-Allow-Methods: GET,POST,PUT,DELETE 表示允许跨域请求的方法。

4)Access-Control-Allow-Headers: content-type 表示允许跨域请求包含content-type,还有Authorization, Accept, Range, Origin

多个域名之间用逗号分隔,表示对所示域名提供跨域访问权限。"*"表示允许所有域名的跨域访问。

上一篇:移动H5前端性能优化指南[转]


下一篇:第二百四十六节,Bootstrap弹出框和警告框插件