跨域:跨域名的访问,是浏览器对ajax的一种限制,这样可以有效的防止跨站攻击
跨域的范畴: 域名不同 或 端口不同 或 二级域名不同
解决方案:
第一种:由于前端基础薄弱,且该方式老掉牙,不讲解;
第二种:利用nginx的反向代理,使得我们表面发送不跨域的请求,实际代理了跨域,配置nginx相关配置即可;
第三种:CORS,规范化的跨域请求解决方案,在服务端进行控制是否允许跨域;
详解:浏览器会将ajax请求分为两类,其处理方案略有差异:简单请求、特殊请求。
简单请求:
请求方法为 : head get post
Http的头信息不能超过以下几种字段:Accept Accept-Language Content-Language Last-Event-ID Content-Type
Access-Control-Allow-Origin: http://manage.hahaha.com //可接受的域,是一个具体域名或者*,代表任意Access-Control-Allow-Credentials: true //是否允许携带cookie,默认情况下,cors不会携带cookie,除非这个值是trueContent-Type: text/html; charset=utf-8
-
-
服务的响应头中需要携带Access-Control-Allow-Credentials并且为true。
-
浏览器发起ajax需要指定withCredentials 为true
-
响应头中的Access-Control-Allow-Origin一定不能为*,必须是指定的域名
-
复杂请求:
请求方式: put
@Configurationpublic class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { //1.添加CORS配置信息 CorsConfiguration config = new CorsConfiguration(); //1) 允许的域,不要写*,否则cookie就无法使用了 config.addAllowedOrigin("http://manage.hahaha.com"); //2) 是否发送Cookie信息 config.setAllowCredentials(true); //3) 允许的请求方式 config.addAllowedMethod("OPTIONS"); config.addAllowedMethod("HEAD"); config.addAllowedMethod("GET"); config.addAllowedMethod("PUT"); config.addAllowedMethod("POST"); config.addAllowedMethod("DELETE"); config.addAllowedMethod("PATCH"); // 4)允许的头信息 config.addAllowedHeader("*"); //2.添加映射路径,我们拦截一切请求 UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource(); configSource.registerCorsConfiguration("/**", config); //3.返回新的CorsFilter. return new CorsFilter(configSource); }}
摘自--某某笔记