跨域

一個資源會發(fā)起一個跨域HTTP請求(Cross-site HTTP request), 當(dāng)它請求的一個資源是從一個與它本身提供的第一個資源的不同的域名時 。

比如說，域名A(http://domaina.example)的某 Web 應(yīng)用程序中通過標(biāo)簽引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg)，域名A的那 Web 應(yīng)用就會導(dǎo)致瀏覽器發(fā)起一個跨站 HTTP 請求。在當(dāng)今的 Web 開發(fā)中，使用跨站 HTTP 請求加載各類資源（包括CSS、圖片、JavaScript 腳本以及其它類資源），已經(jīng)成為了一種普遍且流行的方式。

正如大家所知，出于安全考慮，瀏覽器會限制腳本中發(fā)起的跨站請求。比如，使用 XMLHttpRequest對象發(fā)起 HTTP 請求就必須遵守同源策略。 具體而言，Web 應(yīng)用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發(fā)起 HTTP 請求，而不能向任何其它域名發(fā)起請求。為了能開發(fā)出更強(qiáng)大、更豐富、更安全的Web應(yīng)用程序，開發(fā)人員渴望著在不丟失安全的前提下，Web 應(yīng)用技術(shù)能越來越強(qiáng)大、越來越豐富。比如，可以使用 XMLHttpRequest 發(fā)起跨站 HTTP 請求。（這段描述跨域不準(zhǔn)確，跨域并非瀏覽器限制了發(fā)起跨站請求，而是跨站請求可以正常發(fā)起，但是返回結(jié)果被瀏覽器攔截了。最好的例子是CSRF跨站攻擊原理，請求是發(fā)送到了后端服務(wù)器無論是否跨域！注意：有些瀏覽器不允許從HTTPS的域跨域訪問HTTP，比如Chrome和Firefox，這些瀏覽器在請求還未發(fā)出的時候就會攔截請求，這是一個特例。）

more：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

CROS

CORS 全稱為 Cross Origin Resource Sharing（跨域資源共享），服務(wù)端只需添加相關(guān)響應(yīng)頭信息，即可實現(xiàn)客戶端發(fā)出 AJAX 跨域請求。

@CrossOrigin

1.在Controller上直接使用  Controller上的所有請求都可以跨域 ，origins = "*" 代表所有都能請求

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @RequestMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
    // ...
  }

  @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
  public void remove(@PathVariable Long id) {
    // ...
  }
} 

2. 在方法上使用

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

  @CrossOrigin("http://domain2.com")
  @RequestMapping("/{id}")
  public Account retrieve(@PathVariable Long id) {
    // ...
  }

  @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
  public void remove(@PathVariable Long id) {
    // ...
  }
}

另一中方法：

CorsFilter  主要目的便是添加相關(guān)的信息頭，使用Filter也可以實現(xiàn)。

@Configuration
public class BeanConfiguration {

  @Bean
  public CorsFilter corsFilter() {
    final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration corsConfiguration = new CorsConfiguration();
    corsConfiguration.setAllowCredentials(true);
    corsConfiguration.addAllowedOrigin("*");
    corsConfiguration.addAllowedHeader("*");
    corsConfiguration.addAllowedMethod("*");
    urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
    return new CorsFilter(urlBasedCorsConfigurationSource);
  }

}

Access-Control-Allow-Origin：允許訪問的客戶端域名，例如：http://web.xxx.com，若為 *，則表示從任意域都能訪問，即不做任何限制。

1. Access-Control-Allow-Methods：允許訪問的方法名，多個方法名用逗號分割，例如：GET,POST,PUT,DELETE,OPTIONS。
2. Access-Control-Allow-Credentials：是否允許請求帶有驗證信息，若要獲取客戶端域下的 cookie 時，需要將其設(shè)置為 true。
3. Access-Control-Allow-Headers：允許服務(wù)端訪問的客戶端請求頭，多個請求頭用逗號分割，例如：Content-Type。
4. Access-Control-Expose-Headers：允許客戶端訪問的服務(wù)端響應(yīng)頭，多個響應(yīng)頭用逗號分割。

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論