一個(gè)資源會(huì)發(fā)起一個(gè)跨域http請(qǐng)求(cross-site http request), 當(dāng)它請(qǐng)求的一個(gè)資源是從一個(gè)與它本身提供的第一個(gè)資源的不同的域名時(shí) 。
比如說(shuō),域名a(http://domaina.example)的某 web 應(yīng)用程序中通過(guò)標(biāo)簽引入了域名b(http://domainb.foo)站點(diǎn)的某圖片資源(http://domainb.foo/image.jpg),域名a的那 web 應(yīng)用就會(huì)導(dǎo)致瀏覽器發(fā)起一個(gè)跨站 http 請(qǐng)求。在當(dāng)今的 web 開(kāi)發(fā)中,使用跨站 http 請(qǐng)求加載各類(lèi)資源(包括css、圖片、javascript 腳本以及其它類(lèi)資源),已經(jīng)成為了一種普遍且流行的方式。
正如大家所知,出于安全考慮,瀏覽器會(huì)限制腳本中發(fā)起的跨站請(qǐng)求。比如,使用 xmlhttprequest對(duì)象發(fā)起 http 請(qǐng)求就必須遵守同源策略。 具體而言,web 應(yīng)用程序能且只能使用 xmlhttprequest 對(duì)象向其加載的源域名發(fā)起 http 請(qǐng)求,而不能向任何其它域名發(fā)起請(qǐng)求。為了能開(kāi)發(fā)出更強(qiáng)大、更豐富、更安全的web應(yīng)用程序,開(kāi)發(fā)人員渴望著在不丟失安全的前提下,web 應(yīng)用技術(shù)能越來(lái)越強(qiáng)大、越來(lái)越豐富。比如,可以使用 xmlhttprequest 發(fā)起跨站 http 請(qǐng)求。(這段描述跨域不準(zhǔn)確,跨域并非瀏覽器限制了發(fā)起跨站請(qǐng)求,而是跨站請(qǐng)求可以正常發(fā)起,但是返回結(jié)果被瀏覽器攔截了。最好的例子是csrf跨站攻擊原理,請(qǐng)求是發(fā)送到了后端服務(wù)器無(wú)論是否跨域!注意:有些瀏覽器不允許從https的域跨域訪問(wèn)http,比如chrome和firefox,這些瀏覽器在請(qǐng)求還未發(fā)出的時(shí)候就會(huì)攔截請(qǐng)求,這是一個(gè)特例。)
more:https://developer.mozilla.org/zh-cn/docs/web/http/access_control_cors
cros
cors 全稱(chēng)為 cross origin resource sharing(跨域資源共享),服務(wù)端只需添加相關(guān)響應(yīng)頭信息,即可實(shí)現(xiàn)客戶端發(fā)出 ajax 跨域請(qǐng)求。
@crossorigin
1.在controller上直接使用 controller上的所有請(qǐng)求都可以跨域 ,origins = "*" 代表所有都能請(qǐng)求
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
@crossorigin(origins = "http://domain2.com", maxage = 3600)@restcontroller@requestmapping("/account")public class accountcontroller { @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
2. 在方法上使用
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
@crossorigin(maxage = 3600)@restcontroller@requestmapping("/account")public class accountcontroller { @crossorigin("http://domain2.com") @requestmapping("/{id}") public account retrieve(@pathvariable long id) { // ... } @requestmapping(method = requestmethod.delete, path = "/{id}") public void remove(@pathvariable long id) { // ... }} |
另一中方法:
corsfilter 主要目的便是添加相關(guān)的信息頭,使用filter也可以實(shí)現(xiàn)。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
@configurationpublic class beanconfiguration { @bean public corsfilter corsfilter() { final urlbasedcorsconfigurationsource urlbasedcorsconfigurationsource = new urlbasedcorsconfigurationsource(); final corsconfiguration corsconfiguration = new corsconfiguration(); corsconfiguration.setallowcredentials(true); corsconfiguration.addallowedorigin("*"); corsconfiguration.addallowedheader("*"); corsconfiguration.addallowedmethod("*"); urlbasedcorsconfigurationsource.registercorsconfiguration("/**", corsconfiguration); return new corsfilter(urlbasedcorsconfigurationsource); }} |
access-control-allow-origin:允許訪問(wèn)的客戶端域名,例如:http://web.xxx.com,若為 *,則表示從任意域都能訪問(wèn),即不做任何限制。
- access-control-allow-methods:允許訪問(wèn)的方法名,多個(gè)方法名用逗號(hào)分割,例如:get,post,put,delete,options。
- access-control-allow-credentials:是否允許請(qǐng)求帶有驗(yàn)證信息,若要獲取客戶端域下的 cookie 時(shí),需要將其設(shè)置為 true。
- access-control-allow-headers:允許服務(wù)端訪問(wèn)的客戶端請(qǐng)求頭,多個(gè)請(qǐng)求頭用逗號(hào)分割,例如:content-type。
- access-control-expose-headers:允許客戶端訪問(wèn)的服務(wù)端響應(yīng)頭,多個(gè)響應(yīng)頭用逗號(hào)分割。
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。
原文鏈接:http://www.cnblogs.com/wang-yaz/p/8966768.html
