緣由
出於安全考慮,瀏覽器有一個同源策略。瀏覽器中,異步請求的地址與目標地址的協議、域名和端口號三者與當前有不一樣,就屬於跨域請求。
限制跨域訪問是瀏覽器的一個安全策略,由於若是沒有這個策略,那麼就有被跨站攻擊的危險。好比,攻擊者在本身的網站A放置一個表單,這個表單發起DELETE請求,刪除某個用戶在B網站上的我的資料。若是沒有同源策略保護,那麼在同一個瀏覽器內,若是用戶已經登陸了B網站,這個刪除的請求就會被接受,致使在用戶不知情的狀況下本身在B網站中的資料被刪除。
解決方式
瀏覽器的同源策略提高了安全性,可是給須要在不一樣域名下開發的開發者帶來了跨域問題。
解決跨域的問題主要有:
jsonp和cors。jsonp是利用 script 標籤能夠跨域加載的特性而創造出來的一種非正式的跨域解決方案。在實際開發中,推薦使用cors,即在服務端返回時加入容許跨域的請求頭,容許指定域名的跨域訪問。
千萬要當心!這種直接加 * 號的作法是至關危險的,千萬別這麼作!
response.addHeader("Access-Control-Allow-Origin", "*");
正確的作法:
1. 建立一個 Filter 類
/**
* 使用Filter的方式解決跨域問題
*/
public class CorsFilter implements Filter {
private static final List<String> ALLOW_ORIGINS = Config.getListString("allowOrigins", ",");
private static final String REQUEST_OPTIONS = "OPTIONS";
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
String orgHeader = request.getHeader(HttpHeaders.ORIGIN);
if (orgHeader != null && ALLOW_ORIGINS.contains(orgHeader)) {
// 容許的跨域的域名
response.addHeader("Access-Control-Allow-Origin", orgHeader);
// 容許攜帶 cookies 等認證信息
response.addHeader("Access-Control-Allow-Credentials", "true");
// 容許跨域的方法
response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PATCH, PUT, HEAD");
// 容許跨域請求攜帶的請求頭
response.addHeader("Access-Control-Allow-Headers", "Content-Type, Content-Length, Authorization, Accept, X-Requested-With");
// 返回結果能夠用於緩存的最長時間,單位是秒。-1表示禁用
response.addHeader("Access-Control-Max-Age", "3600");
// 跨域預檢請求,直接返回
if (REQUEST_OPTIONS.equalsIgnoreCase(request.getMethod())) {
return;
}
}
filterChain.doFilter(request, response);
}
@Override
public void destroy() {
}
}
2. 在 web.xml 的最前面註冊這個 Filter
<filter>
<filter-name>corsfilter</filter-name>
<filter-class>com.bj58.crm.plus.filter.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>corsfilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
前端使用 axios 能夠先進行封裝
http-util.js
let axios = require("axios");
let qs = require("qs");
axios.defaults.withCredentials = true;
axios.defaults.headers.post["Content-Type"] = "application/x-www-form-urlencoded";
function post(url, param) {
return axios.post(url, qs.stringify(param))
}
function get(url, param) {
axios.get(url, {params: param})
}
export default {
get,
post
};前端