解決瀏覽器跨域限制方案之CORS
一.什麼是CORS
CORS是解決瀏覽器跨域限制的W3C標準,詳見:https://www.w3.org/TR/cors/。
根據CORS標準的定義,在瀏覽器中訪問跨域資源時,須要作以下實現:java
- 服務端在響應消息頭中包含消息頭:
Access-Control-Allow-Origin,值爲服務端容許訪問資源的域名稱,同時瀏覽器會根據該值與發起的請求消息頭Origin值進行匹配,以確認服務端是否容許訪問跨域資源。 - 瀏覽器在發送非「簡單方法」(GET,HEAD請求被定義爲簡單方法)以前,會發送一個預檢請求(一般是一個OPTIONS請求),瀏覽器根據響應消息頭驗證服務端是否容許訪問跨域資源,從而決定是否須要發送「實際請求」。
- 在服務端根據請求消息頭
Origin值以決定是否容許瀏覽器訪問跨域資源,返回相應的消息頭。
具體來講,在實現時一般須要設置以下幾個響應消息頭:ajax
Access-Control-Allow-Origin:「origin-list」 | 「null」 | 「*」,容許訪問跨域資源的域名列表,對於預檢請求來講,決定是否會發送實際請求。Access-Control-Allow-Credentials:true | false,代表實際請求中是否能夠包含用戶憑證信息。Access-Control-Allow-Methods:「method」,服務端容許訪問的實際請求方法名列表。Access-Control-Allow-Headers:「field-name」,在「實際」請求中能夠包含的消息頭名稱列表。Access-Control-Max-Age:seconds,預檢請求結果緩存時間,單位:秒。在該時間範圍內,發送實際請求以前再也不會發送預檢請求。
特別說明:對於須要跨域傳遞Cookie的場景,必須設置消息頭「Access-Control-Allow-Credentials」爲「true」,且此時「Access-Control-Allow-Origin」值只能爲某一指定單一域名。
簡而言之,CORS標準的核心就是:服務端須要在瀏覽器的跨域請求響應中包含指定消息頭,以下經過代碼示例說明。spring
二.實現CORS
在Serlvet中實現CORS
public class AjaxCorsServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
private static final Logger logger = Logger.getLogger(AjaxCorsServlet.class.getName());
@Override
protected void doOptions(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
String origin = req.getHeader("Origin");
String allowMethod = req.getHeader("Access-Control-Request-Method");
String allowHeaders = req.getHeader("Access-Control-Request-Headers");
resp.setHeader("Access-Control-Allow-Origin", origin);// 容許指定域訪問跨域資源
resp.setHeader("Access-Control-Allow-Credentials", "true"); // 容許跨域傳遞Cookie
resp.setHeader("Access-Control-Max-Age", "86400"); // 瀏覽器緩存預檢請求結果時間,單位:秒
resp.setHeader("Access-Control-Allow-Methods", allowMethod);// 容許瀏覽器發送的實際請求方法名列表
resp.setHeader("Access-Control-Allow-Headers", allowHeaders);// 容許瀏覽器發送的請求消息頭
}
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
this.doPost(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
logger.info(String.format("ajax cors post do"));
String origin = req.getHeader("Origin");
resp.setHeader("Access-Control-Allow-Origin", origin); // 在實際請求中容許指定域訪問跨域資源
resp.setHeader("Access-Control-Allow-Credentials", "true"); // 容許跨域傳遞Cookie
resp.setHeader("Content-Type", "application/json"); // 服務端響應的數據類型
User user = new User();
user.setName("ajax cors post do");
user.setPwd("******");
resp.getWriter().write(JSON.toJSONString(user));
}
}
### 使用Spring框架 #### 在Spring 4.1.9.RELEASE及如下版本的解決方案 經過自定義Filter實現CORS,以下代碼說明: ```java public class CROSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // to do something }
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse resp = (HttpServletResponse)response;
String origin = req.getHeader("Origin");
resp.setHeader("Access-Control-Allow-Origin", origin); // 容許指定域訪問跨域資源
resp.setHeader("Access-Control-Allow-Credentials", "true"); // 容許跨域傳遞Cookie
if(RequestMethod.OPTIONS.toString().equals(req.getMethod())) {
String allowMethod = req.getHeader("Access-Control-Request-Method");
String allowHeaders = req.getHeader("Access-Control-Request-Headers");
resp.setHeader("Access-Control-Max-Age", "86400"); // 瀏覽器緩存預檢請求結果時間,單位:秒
resp.setHeader("Access-Control-Allow-Methods", allowMethod); // 容許瀏覽器發送的實際請求方法名列表
resp.setHeader("Access-Control-Allow-Headers", allowHeaders); // 容許瀏覽器發送的請求消息頭
return;
}
chain.doFilter(request, response);
}
@Override
public void destroy() {
// release resouces
}
}json
Filter配置:
```xml
<filter>
<filter-name>CROSFilter</filter-name>
<filter-class>org.chench.springdemo.filter.CROSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CROSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
在Spring 4.2.0.RC1及以上版本的解決方案
從Spring 4.2.0.RC1版本開始,Spring MVC提供了一個解決瀏覽器跨域限制的註解CrossOrigin,只須要在Controller方法上使用該註解便可。跨域
@RequestMapping(value="/post", method = {RequestMethod.POST})
@ResponseBody
@CrossOrigin(origin="*") // 使用CrossOrigin註解處理瀏覽器跨域限制問題
public User testAjaxCORSPost(HttpServletRequest req, HttpServletResponse resp,
@RequestBody User user) {
logger.info("ajax post do");
User u = new User();
u.setName("ajaxPost");
u.setPwd("111");
return u;
} 【參考】 https://spring.io/blog/2015/06/08/cors-support-in-spring-framework
相關文章
- 1. 解決瀏覽器跨域限制方案之WebSocket
- 2. 瀏覽器的跨域解決方案
- 3. 解決瀏覽器跨域
- 4. Ajax跨域二(在瀏覽器、jsonp方面解決跨域)
- 5. 瀏覽器的同源策略及跨域解決方案
- 6. 瀏覽器跨域問題解決方案
- 7. 瀏覽器同源策略,及跨域解決方案
- 8. 瀏覽器同源策略及 Ajax 跨域解決方案
- 9. 關於瀏覽器跨域問題解決方案
- 10. 瀏覽器窗口間跨域通訊的解決方案
- 更多相關文章...
- • XSLT 瀏覽器 - XSLT 教程
- • Opera 瀏覽器 - 瀏覽器信息
- • PHP Ajax 跨域問題最佳解決方案
- • Docker容器實戰(六) - 容器的隔離與限制
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. js中 charCodeAt
- 2. Android中通過ViewHelper.setTranslationY實現View移動控制(NineOldAndroids開源項目)
- 3. 【Android】日常記錄:BottomNavigationView自定義樣式,修改點擊後圖片
- 4. maya 文件檢查 ui和數據分離 (一)
- 5. eclipse 修改項目的jdk版本
- 6. Android InputMethod設置
- 7. Simulink中Bus Selector出現很多? ? ?
- 8. 【Openfire筆記】啓動Mac版Openfire時提示「系統偏好設置錯誤」
- 9. AutoPLP在偏好標籤中的生產與應用
- 10. 數據庫關閉的四種方式
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 解決瀏覽器跨域限制方案之WebSocket
- 2. 瀏覽器的跨域解決方案
- 3. 解決瀏覽器跨域
- 4. Ajax跨域二(在瀏覽器、jsonp方面解決跨域)
- 5. 瀏覽器的同源策略及跨域解決方案
- 6. 瀏覽器跨域問題解決方案
- 7. 瀏覽器同源策略,及跨域解決方案
- 8. 瀏覽器同源策略及 Ajax 跨域解決方案
- 9. 關於瀏覽器跨域問題解決方案
- 10. 瀏覽器窗口間跨域通訊的解決方案