如何解決 java web項目跨域問題 ?

1.http請求頭

Origin: 普通的HTTP請求也會帶有，在CORS中專門做爲Origin信息供後端比對,代表來源域。

Access-Control-Request-Method: 接下來請求的方法，例如PUT, DELETE等等

Access-Control-Request-Headers: 自定義的頭部，全部用setRequestHeader方法設置的頭部都將會以逗號隔開的形式包含在這個頭中

 

2.http響應頭

而後瀏覽器再根據服務器的返回值判斷是否發送非簡單請求。簡單請求前面講過是直接發送，只是多加一個origin字段代表跨域請求的來源。而後服務器處理完請求以後，會再返回結果中加上以下控制字段

Access-Control-Allow-Origin: 容許跨域訪問的域，能夠是一個域的列表，也能夠是通配符"*"。這裏要注意Origin規則只對域名有效，並不會對子目錄有效。即http://foo.example/subdir/ 是無效的。可是不一樣子域名須要分開設置，這裏的規則能夠參照同源策略

Access-Control-Allow-Credentials: 是否容許請求帶有驗證信息，

Access-Control-Expose-Headers: 容許腳本訪問的返回頭，請求成功後，腳本能夠在

Access-Control-Max-Age: 緩存這次請求的秒數。在這個時間範圍內，全部同類型的請求都將再也不發送預檢請求而是直接使用這次返回的頭做爲判斷依據，很是有用，大幅優化請求次數

Access-Control-Allow-Methods: 容許使用的請求方法，以逗號隔開

Access-Control-Allow-Headers: 容許自定義的頭部，以逗號隔開，大小寫不敏感

 

若是程序猿偷懶將Access-Control-Allow-Origin設置爲：Access-Control-Allow-Origin: * 容許任何來自任意域的跨域請求，那麼久存在被 DDoS攻擊的可能。

 

實現方式：

一、nginx配置文件配置：

server {  

    location / {  

        if ($request_method = 'OPTIONS') {  

          add_header 'Access-Control-Allow-Origin' '*';  

          add_header 'Access-Control-Allow-Credentials' 'true';  

          add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';  

          add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type';  

         # add_header 'Access-Control-Max-Age' 3600;  

          add_header 'Content-Type' 'text/plain charset=UTF-8';  

          add_header 'Content-Length' 0;  

          return 200;  

        }  

}

方法2：直接在tomcat安裝目錄下的lib中添加cors-filter-1.7.jar，java-property-utils-1.9.jar 這2個jar包，而且在業務項目的web.xml 中配置想要應的filter配置文件：

<filter>
		<filter-name>CORS</filter-name>
		<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
		<init-param>
			<param-name>cors.allowOrigin</param-name>
			<param-value>*</param-value>
		</init-param>
		<init-param>
			<param-name>cors.supportedMethods</param-name>
			<param-value>GET,POST,HEAD,PUT,DELETE</param-value>
		</init-param>
		<init-param>
			<param-name>cors.supportedHeaders</param-name>
			<param-value>Accept,Origin,X-Requested-With,Content-Type,Last-Modified</param-value>
		</init-param>
		<init-param>
			<param-name>cors.exposedHeaders</param-name>
			<param-value>Set-Cookie</param-value>
		</init-param>
		<init-param>
			<param-name>cors.supportsCredentials</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CORS</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

方法3：本身寫的  filter類，本身在在業務項目中配置web.xml 中配置想要的xml 文件。

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

public class CrossFilter implements Filter {

	public void destroy() {

	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {

		HttpServletResponse res = (HttpServletResponse) response;

//		res.setContentType("text/html;charset=UTF-8");
		
//		Access-Control-Allow-Origin 爲容許哪些Origin發起跨域請求. 這裏設置爲」*」表示容許全部，一般設置爲全部並不安全，最好指定一下
		res.setHeader("Access-Control-Allow-Origin", "*");

//		Access-Control-Allow-Methods 爲容許請求的方法.
		res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");

//		Access-Control-Max-Age 代表在多少毫秒內，不須要再發送預檢驗請求，能夠緩存該結果
		res.setHeader("Access-Control-Max-Age", "0");

//		Access-Control-Allow-Headers 代表它容許跨域請求包含content-type頭，這裏設置的x-requested-with ，表示ajax請求
		res.setHeader("Access-Control-Allow-Headers",
				"Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");

		res.setHeader("Access-Control-Allow-Credentials", "true");

		res.setHeader("XDomainRequestAllowed", "1");

		chain.doFilter(request, response);
	}

	public void init(FilterConfig arg0) throws ServletException {

	}

}