跨域:跨域名的访问,是浏览器对ajax的一种限制,这样可以有效的防止跨站攻击
跨域的范畴: 域名不同 或 端口不同 或 二级域名不同
解决方案:
第一种:由于前端基础薄弱,且该方式老掉牙,不讲解;
第二种:利用nginx的反向代理,使得我们表面发送不跨域的请求,实际代理了跨域,配置nginx相关配置即可;
第三种:CORS,规范化的跨域请求解决方案,在服务端进行控制是否允许跨域;
详解:浏览器会将ajax请求分为两类,其处理方案略有差异:简单请求、特殊请求。
简单请求:
请求方法为 : head get post
Http的头信息不能超过以下几种字段:Accept Accept-Language Content-Language Last-Event-ID Content-Type
Access-Control-Allow-Origin: http://manage.hahaha.com //可接受的域,是一个具体域名或者*,代表任意
Access-Control-Allow-Credentials: true //是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是true
Content-Type: text/html; charset=utf-8
-
-
服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
-
浏览器发起ajax需要指定withCredentials 为true
-
响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名
-
复杂请求:
请求方式: put
@Configuration
public class GlobalCorsConfig {
@Bean
public CorsFilter corsFilter() {
//1.添加CORS配置信息
CorsConfiguration config = new CorsConfiguration();
//1) 允许的域,不要写*,否则cookie就无法使用了
config.addAllowedOrigin("http://manage.hahaha.com");
//2) 是否发送Cookie信息
config.setAllowCredentials(true);
//3) 允许的请求方式
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("HEAD");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
config.addAllowedMethod("DELETE");
config.addAllowedMethod("PATCH");
// 4)允许的头信息
config.addAllowedHeader("*");
//2.添加映射路径,我们拦截一切请求
UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
configSource.registerCorsConfiguration("/**", config);
//3.返回新的CorsFilter.
return new CorsFilter(configSource);
}
}
摘自--某某笔记