如果您想訂閱本博客內(nèi)容,每天自動(dòng)發(fā)到您的郵箱中, 請點(diǎn)這里
原因
出于安全考慮,瀏覽器有一個(gè)同源策略。瀏覽器中,異步請求的地址與目標(biāo)地址的協(xié)議、域名和端口號三者與當(dāng)前有不同,就屬于跨域請求。
限制跨域訪問是瀏覽器的一個(gè)安全策略,因?yàn)槿绻麤]有這個(gè)策略,那么就有被跨站攻擊的危險(xiǎn)。比如,攻擊者在自己的網(wǎng)站A放置一個(gè)表單,這個(gè)表單發(fā)起DELETE請求,刪除某個(gè)用戶在B網(wǎng)站上的個(gè)人資料。如果沒有同源策略保護(hù),那么在同一個(gè)瀏覽器內(nèi),如果用戶已經(jīng)登錄了B網(wǎng)站,這個(gè)刪除的請求就會(huì)被接受,導(dǎo)致在用戶不知情的情況下自己在B網(wǎng)站中的資料被刪除。
解決方式
瀏覽器的同源策略提升了安全性,但是給需要在不同域名下開發(fā)的開發(fā)者帶來了跨域問題。
解決跨域的問題主要有:
jsonp和cors。jsonp是利用 script 標(biāo)簽可以跨域加載的特性而創(chuàng)造出來的一種非正式的跨域解決方案。在實(shí)際開發(fā)中,推薦使用cors,即在服務(wù)端返回時(shí)加入允許跨域的請求頭,允許指定域名的跨域訪問。
千萬要小心!這種直接加 * 號的做法是相當(dāng)危險(xiǎn)的,千萬別這么做!
response.addHeader("Access-Control-Allow-Origin", "*");
正確的做法:
1. 創(chuàng)建一個(gè) Filter 類
/**
* 使用Filter的方式解決跨域問題
*/ public class CorsFilter implements Filter { private static final List<String> ALLOW_ORIGINS = Config.getListString("allowOrigins", ","); private static final String REQUEST_OPTIONS = "OPTIONS"; @Override public void init(FilterConfig filterConfig) throws ServletException {
} @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpServletResponse response = (HttpServletResponse) servletResponse;
String orgHeader = request.getHeader(HttpHeaders.ORIGIN); if (orgHeader != null && ALLOW_ORIGINS.contains(orgHeader)) { response.addHeader("Access-Control-Allow-Origin", orgHeader); response.addHeader("Access-Control-Allow-Credentials", "true"); response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PATCH, PUT, HEAD"); response.addHeader("Access-Control-Allow-Headers", "Content-Type, Content-Length, Authorization, Accept, X-Requested-With"); response.addHeader("Access-Control-Max-Age", "3600"); if (REQUEST_OPTIONS.equalsIgnoreCase(request.getMethod())) { return;
}
}
filterChain.doFilter(request, response);
} @Override public void destroy() {
}
}
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
-
25
-
26
-
27
-
28
-
29
-
30
-
31
-
32
-
33
-
34
-
35
-
36
-
37
-
38
-
39
2. 在 web.xml 的最前面注冊這個(gè) Filter
<filter> <filter-name>corsfilter</filter-name> <filter-class>com.bj58.crm.plus.filter.CorsFilter</filter-class> </filter> <filter-mapping> <filter-name>corsfilter</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
前端使用 axios 可以先進(jìn)行封裝
http-util.js
let axios = require("axios"); let qs = require("qs");
axios.defaults.withCredentials = true;
axios.defaults.headers.post["Content-Type"] = "application/x-www-form-urlencoded"; function post(url, param) { return axios.post(url, qs.stringify(param))
} function get(url, param) { axios.get(url, {params: param})
}
export default {
get,
post
};
藍(lán)藍(lán)設(shè)計(jì)( www.lzhte.cn )是一家專注而深入的界面設(shè)計(jì)公司,為期望卓越的國內(nèi)外企業(yè)提供卓越的UI界面設(shè)計(jì)、BS界面設(shè)計(jì) 、 cs界面設(shè)計(jì) 、 ipad界面設(shè)計(jì) 、 包裝設(shè)計(jì) 、 圖標(biāo)定制 、 用戶體驗(yàn) 、交互設(shè)計(jì)、 網(wǎng)站建設(shè) 、平面設(shè)計(jì)服務(wù)
