跨域请求到底会不会被服务器执行

首先供上我的答案（也可能会打脸）：

会。跨域请求浏览器可以正常发送服务器也可以正常返回响应，只不过响应被浏览器拦截了而已。

揭晓一下答案，请求有的时候会被执行，有的时候不会执行。

那啥时候会执行，啥时候不会执行呢？其实这个问题主要要从以下几个方面去考虑：

首先我们俗称的跨域，也就是浏览器的同源策略

同源：协议、域名、端口号相同

所以，跨域请求的拦截是浏览器干的。

请求一定是先发出去（预检请求/简单请求的跨域请求），在返回来的时候被浏览器拦截了，如果请求是有返回值的，会被浏览器隐藏掉。

什么条件下会发送预检请求？

非简单请求：

我们发现，在发送非简单请求之前（真正的请求），浏览器会先发送一个 Preflight 请求，也就是我们常说的预检请求，它的方法为 OPTIONS。

这也就是为什么有的时候我们明明只发了一个请求，在 Network 里却看到两个。

预检请求有一个很重要的作用就是 - 询问服务端是不是允许这次请求，如果当前请求是个跨域的请求，你可以理解为：询问服务端是不是允许请求在当前域下跨域发送。

当然，它还有其他的作用，比如 询问 服务端支持哪些 HTTP 方法。

当预检请求到达服务端时，服务端是不会真正执行这个请求的逻辑的，只会在这个请求上返回一些 HTTP Header，没有响应体。以此来告诉客户端是不是要发送真正的请求。

如果服务端告诉客户端，请求是允许被发送的，那真正的请求才会发出去。这时服务端才会真正执行请求接口的逻辑。

所以，如果你发送的是一个简单请求，这个请求不管是不是会受到跨域的限制，只要发出去了，一定会在服务端被执行，浏览器只是隐藏了返回值而已。

场景：前后端分离，页面和后端项目部署在不同服务器，出现请求跨域问题。

原因：CORS：跨来源资源共享（CORS）是一份浏览器技术的规范，提供了 Web 服务从不同网域传来沙盒脚本的方法，以避开浏览器的同源策略，是 JSONP 模式的现代版。与 JSONP 不同，CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest，这种方式的错误处理比JSONP要来的好，JSONP对于 RESTful 的 API 来说，发送 POST/PUT/DELET 请求将成为问题，不利于接口的统一。但另一方面，JSONP 可以在不支持 CORS 的老旧浏览器上运作。不过现代的浏览器（IE10以上）基本都支持 CORS。

预检请求（option）:在 CORS 中，可以使用 OPTIONS 方法发起一个预检请求(一般都是浏览检测到请求跨域时，会自动发起)，以检测实际请求是否可以被服务器所接受。预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法；Access-Control-Request-Headers 首部字段告知服务器实际请求所携带的自定义首部字段。服务器基于从预检请求获得的信息来判断，是否接受接下来的实际请求。

解决方案：

1、创建一个过滤器，过滤options请求。

package com.biz.eisp.sci.util

import org.apache.commons.httpclient.HttpStatus

import javax.servlet.*

import javax.servlet.http.HttpServletRequest

import javax.servlet.http.HttpServletResponse

import java.io.IOException

/**

* 解决跨域问题

* 

*/

public class CorsFilterimplements Filter {//filter 接口的自定义实现

    public void init(FilterConfig filterConfig)throws ServletException {

}

@Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {

HttpServletResponse response = (HttpServletResponse) servletResponse

        HttpServletRequest request = (HttpServletRequest) servletRequest

        response.setHeader("Access-Control-Allow-Origin", "*")

        if ("OPTIONS".equals(request.getMethod())){//这里通过判断请求的方法，判断此次是否是预检请求，如果是，立即返回一个204状态吗，标示，允许跨域；预检后，正式请求，这个方法参数就是我们设置的post了

            response.setStatus(HttpStatus.SC_NO_CONTENT)//HttpStatus.SC_NO_CONTENT = 204

            response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, DELETE")//当判定为预检请求后，设定允许请求的方法

            response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with")//当判定为预检请求后，设定允许请求的头部类型

            response.addHeader("Access-Control-Max-Age", "1")  // 预检有效保持时间

        }

filterChain.doFilter(request, response)

    }

@Override

    public void destroy() {

}

}

2、修改web.xml文件

<filter>

 <filter-name>cors</filter-name>

  <filter-class>com.biz.eisp.sci.util.CorsFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>cors</filter-name>

  <url-pattern>/* </url-pattern>

</filter-mapping>

3、spring-mvc.xml添加HttpRequestHandlerAdapter http请求处理器适配器。

HttpRequestHandlerAdapter作为HTTP请求处理器适配器仅仅支持对HTTP请求处理器的适配。它简单的将HTTP请求对象和响应对象传递给HTTP请求处理器的实现，它并不需要返回值。它主要应用在基于HTTP的远程调用的实现上。

<bean class="org.springframework.web.servlet.mvc.HttpRequestHandlerAdapter"/>

---