首先供上我的答案(也可能会打脸):
会。跨域请求浏览器可以正常发送服务器也可以正常返回响应,只不过响应被浏览器拦截了而已。
揭晓一下答案,请求有的时候会被执行,有的时候不会执行。
那啥时候会执行,啥时候不会执行呢?其实这个问题主要要从以下几个方面去考虑:
首先我们俗称的跨域,也就是浏览器的同源策略
同源:协议、域名、端口号相同
所以,跨域请求的拦截是浏览器干的。
请求一定是先发出去(预检请求/简单请求的跨域请求),在返回来的时候被浏览器拦截了,如果请求是有返回值的,会被浏览器隐藏掉。
什么条件下会发送预检请求?
非简单请求:
我们发现,在发送非简单请求之前(真正的请求),浏览器会先发送一个 Preflight 请求,也就是我们常说的预检请求,它的方法为 OPTIONS。
这也就是为什么有的时候我们明明只发了一个请求,在 Network 里却看到两个。
预检请求有一个很重要的作用就是 - 询问服务端是不是允许这次请求,如果当前请求是个跨域的请求,你可以理解为:询问服务端是不是允许请求在当前域下跨域发送。
当然,它还有其他的作用,比如 询问 服务端支持哪些 HTTP 方法。
当预检请求到达服务端时,服务端是不会真正执行这个请求的逻辑的,只会在这个请求上返回一些 HTTP Header,没有响应体。以此来告诉客户端是不是要发送真正的请求。
如果服务端告诉客户端,请求是允许被发送的,那真正的请求才会发出去。这时服务端才会真正执行请求接口的逻辑。
所以,如果你发送的是一个简单请求,这个请求不管是不是会受到跨域的限制,只要发出去了,一定会在服务端被执行,浏览器只是隐藏了返回值而已。
场景:前后端分离,页面和后端项目部署在不同服务器,出现请求跨域问题。
原因:CORS:跨来源资源共享(CORS)是一份浏览器技术的规范,提供了 Web 服务从不同网域传来沙盒脚本的方法,以避开浏览器的同源策略,是 JSONP 模式的现代版。与 JSONP 不同,CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest,这种方式的错误处理比JSONP要来的好,JSONP对于 RESTful 的 API 来说,发送 POST/PUT/DELET 请求将成为问题,不利于接口的统一。但另一方面,JSONP 可以在不支持 CORS 的老旧浏览器上运作。不过现代的浏览器(IE10以上)基本都支持 CORS。
预检请求(option):在 CORS 中,可以使用 OPTIONS 方法发起一个预检请求(一般都是浏览检测到请求跨域时,会自动发起),以检测实际请求是否可以被服务器所接受。预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法;Access-Control-Request-Headers 首部字段告知服务器实际请求所携带的自定义首部字段。服务器基于从预检请求获得的信息来判断,是否接受接下来的实际请求。
解决方案:
1、创建一个过滤器,过滤options请求。
package com.biz.eisp.sci.util
import org.apache.commons.httpclient.HttpStatus
import javax.servlet.*
import javax.servlet.http.HttpServletRequest
import javax.servlet.http.HttpServletResponse
import java.io.IOException
/**
* 解决跨域问题
*
*/
public class CorsFilterimplements Filter {//filter 接口的自定义实现
public void init(FilterConfig filterConfig)throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) servletResponse
HttpServletRequest request = (HttpServletRequest) servletRequest
response.setHeader("Access-Control-Allow-Origin", "*")
if ("OPTIONS".equals(request.getMethod())){//这里通过判断请求的方法,判断此次是否是预检请求,如果是,立即返回一个204状态吗,标示,允许跨域;预检后,正式请求,这个方法参数就是我们设置的post了
response.setStatus(HttpStatus.SC_NO_CONTENT)//HttpStatus.SC_NO_CONTENT = 204
response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, DELETE")//当判定为预检请求后,设定允许请求的方法
response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with")//当判定为预检请求后,设定允许请求的头部类型
response.addHeader("Access-Control-Max-Age", "1") // 预检有效保持时间
}
filterChain.doFilter(request, response)
}
@Override
public void destroy() {
}
}
2、修改web.xml文件
<filter>
<filter-name>cors</filter-name>
<filter-class>com.biz.eisp.sci.util.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>cors</filter-name>
<url-pattern>/* </url-pattern>
</filter-mapping>
3、spring-mvc.xml添加HttpRequestHandlerAdapter http请求处理器适配器。
HttpRequestHandlerAdapter作为HTTP请求处理器适配器仅仅支持对HTTP请求处理器的适配。它简单的将HTTP请求对象和响应对象传递给HTTP请求处理器的实现,它并不需要返回值。它主要应用在基于HTTP的远程调用的实现上。
<bean class="org.springframework.web.servlet.mvc.HttpRequestHandlerAdapter"/>
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)