服务端设置跨域

本文主要介绍服务端设置跨域的方式。

设置了具体的域名地址之后，只有指定地址才可访问B站点的设置如下：

访问A站点的时候设置一个cookie，然后从A站点去访问B站点，查看是否会携带A站点的cookie

原文连接： 原文地址

跨域的详细介绍可以参考： 浏览器和服务器实现跨域(CORS)判定的原理 ，这里不多赘述。

1、主要就是客户端向发送了服务端请求，服务器已经能返回数据，但是浏览器不接收

2、在接口里面加上：( 因为request是处理请求，response是返回结果 )

response.setHeader("Access-Control-Allow-Origin", "*")

response.setHeader("Cache-Control","no-cache") 

3、如果是使用Spring Boot创建的项目，直接添加 一句注解 到controller和方法就可以了：

@CrossOrigin

其中@CrossOrigin中的2个参数：

origins  ： 允许可访问的域列表

maxAge ：准备响应前的缓存持续的最大时间（以秒为单位）。

在这个例子中，对于retrieve()和remove()处理方法都启用了跨域支持，还可以看到如何使用@CrossOrigin属性定制CORS配置。如果同时使用controller和方法级别的CORS配置，Spring将合并两个注释属性以创建合并的CORS配置。

4、如果您正在使用Spring Security，请确保在Spring安全级别启用CORS，并允许它利用Spring MVC级别定义的配置。

二、全局CORS配置

除了细粒度、基于注释的配置之外，您还可能需要定义一些全局CORS配置。这类似于使用筛选器，但可以声明为Spring MVC并结合细粒度@CrossOrigin配置。默认情况下，所有origins and GET, HEAD and POST methods是允许的。

JavaConfig

使整个应用程序的CORS简化为：

更多使用请看原文连接和官方文档

场景：前后端分离，页面和后端项目部署在不同服务器，出现请求跨域问题。

原因：CORS：跨来源资源共享（CORS）是一份浏览器技术的规范，提供了 Web 服务从不同网域传来沙盒脚本的方法，以避开浏览器的同源策略，是 JSONP 模式的现代版。与 JSONP 不同，CORS 除了 GET 要求方法以外也支持其他的 HTTP 要求。用 CORS 可以让网页设计师用一般的 XMLHttpRequest，这种方式的错误处理比JSONP要来的好，JSONP对于 RESTful 的 API 来说，发送 POST/PUT/DELET 请求将成为问题，不利于接口的统一。但另一方面，JSONP 可以在不支持 CORS 的老旧浏览器上运作。不过现代的浏览器（IE10以上）基本都支持 CORS。

预检请求（option）:在 CORS 中，可以使用 OPTIONS 方法发起一个预检请求(一般都是浏览检测到请求跨域时，会自动发起)，以检测实际请求是否可以被服务器所接受。预检请求报文中的 Access-Control-Request-Method 首部字段告知服务器实际请求所使用的 HTTP 方法；Access-Control-Request-Headers 首部字段告知服务器实际请求所携带的自定义首部字段。服务器基于从预检请求获得的信息来判断，是否接受接下来的实际请求。

解决方案：

1、创建一个过滤器，过滤options请求。

package com.biz.eisp.sci.util

import org.apache.commons.httpclient.HttpStatus

import javax.servlet.*

import javax.servlet.http.HttpServletRequest

import javax.servlet.http.HttpServletResponse

import java.io.IOException

/**

* 解决跨域问题

* 

*/

public class CorsFilterimplements Filter {//filter 接口的自定义实现

    public void init(FilterConfig filterConfig)throws ServletException {

}

@Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)throws IOException, ServletException {

HttpServletResponse response = (HttpServletResponse) servletResponse

        HttpServletRequest request = (HttpServletRequest) servletRequest

        response.setHeader("Access-Control-Allow-Origin", "*")

        if ("OPTIONS".equals(request.getMethod())){//这里通过判断请求的方法，判断此次是否是预检请求，如果是，立即返回一个204状态吗，标示，允许跨域；预检后，正式请求，这个方法参数就是我们设置的post了

            response.setStatus(HttpStatus.SC_NO_CONTENT)//HttpStatus.SC_NO_CONTENT = 204

            response.setHeader("Access-Control-Allow-Methods", "POST, GET, DELETE, OPTIONS, DELETE")//当判定为预检请求后，设定允许请求的方法

            response.setHeader("Access-Control-Allow-Headers", "Content-Type, x-requested-with")//当判定为预检请求后，设定允许请求的头部类型

            response.addHeader("Access-Control-Max-Age", "1")  // 预检有效保持时间

        }

filterChain.doFilter(request, response)

    }

@Override

    public void destroy() {

}

}

2、修改web.xml文件

<filter>

 <filter-name>cors</filter-name>

  <filter-class>com.biz.eisp.sci.util.CorsFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>cors</filter-name>

  <url-pattern>/* </url-pattern>

</filter-mapping>

3、spring-mvc.xml添加HttpRequestHandlerAdapter http请求处理器适配器。

HttpRequestHandlerAdapter作为HTTP请求处理器适配器仅仅支持对HTTP请求处理器的适配。它简单的将HTTP请求对象和响应对象传递给HTTP请求处理器的实现，它并不需要返回值。它主要应用在基于HTTP的远程调用的实现上。

<bean class="org.springframework.web.servlet.mvc.HttpRequestHandlerAdapter"/>

---