跨域问题,解决方案 - CORS方案

·  阅读 3833
跨域问题,解决方案 - CORS方案

原文地址:跨域问题,解决方案 - CORS方案
博客地址:blog.720ui.com/

跨域问题,解决之道

链接文章:跨域问题,解决之道

解决思路

CORS 全称为 Cross Origin Resource Sharing(跨域资源共享)。整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,但用户不会有感觉。因此,实现CORS通信的关键是服务端。服务端只需添加相关响应头信息,即可实现客户端发出 AJAX 跨域请求。

值得注意的是,浏览器必须先以 OPTIONS 请求方式发送一个预请求,从而获知服务器端对跨源请求所支持 HTTP 方法。在确认服务器允许该跨源请求的情况下,以实际的 HTTP 请求方法发送那个真正的请求。

CORS涉及的响应头

Access-Control-Allow-Origin

允许访问的客户端域名,例如:blog.720ui.com,若为星形标示号,则表示从任意域都能访问,即不做任何限制。值得注意的是,Access-Control-Allow-Origin 只允许两种取值,一个是星形标示号,一个是具体的域名,不支持同时配置多个域名。

Access-Control-Allow-Methods

允许访问的方法名,多个方法名用逗号分割,例如:GET,POST,PUT,DELETE,OPTIONS。

Access-Control-Allow-Credentials

是否允许请求带有验证信息,若要获取客户端域下的 cookie 时,需要将其设置为 true。

Access-Control-Max-Age

可以用于 CORS 相关配置的缓存。

Access-Control-Allow-Headers

允许服务端访问的客户端请求头,多个请求头用逗号分割,例如:Content-Type。

解决跨域问题

首先,我们需要编写一个 Filter,过滤所有的 HTTP 请求,将 CORS 响应头写入 response 对象中。

public class CORSFilter implements Filter {  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
        HttpServletResponse response = (HttpServletResponse) res;  
        response.setHeader("Access-Control-Allow-Origin", "*");  
        response.setHeader("Access-Control-Allow-Methods",
        "GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE, PATCH");  
        response.setHeader("Access-Control-Max-Age", "3600");  
        response.setHeader("Access-Control-Allow-Headers", 
        "Origin, Accept, X-Requested-With, Content-Type, 
        Access-Control-Request-Method, Access-Control-Request-Headers, 
        Authorization, Cache-control");  
        chain.doFilter(req, res);  
    }  

    public void init(FilterConfig filterConfig) {}  

    public void destroy() {}  

}复制代码

然后,在 web.xml 中配置 CorsFilter 的过滤器。

<filter>  
  <filter-name>corsFilter&lt;/filter-name>  
  <filter-class>com.lianggzone.core.filter.CorsFilter&lt;/filter-class>  
</filter>  
<filter-mapping>  
  <filter-name>corsFilter&lt;/filter-name>  
  <url-pattern>/*&lt;/url-pattern>  
</filter-mapping>复制代码

完成上面两个步骤,即可实现跨域功能。这样跨多个域的问题就轻松解决了。

存在问题

不幸的是,CORS不支持IE8、IE9,如果产品不再考虑兼容IE低版本的话,可以忽略,但是如果产品需要兼容目前国内还存在大量低版本的IE市场(百分之二十多),那么这个需要慎重考虑咯。

(完)

更多精彩文章,尽在「服务端思维」微信公众号!

分类:
后端
收藏成功!
已添加到「」, 点击更改