Java后端设置服务器答应跨域

1、实现

以下通过servlet的Filter给全部响应的header加了一些跨域相关的数据，以实现答应跨域。

1. import org.springframework.context.annotation.Configuration;
2. import org.springframework.core.Ordered;
3. import org.springframework.core.annotation.Order;
4. import javax.servlet.*;
5. import javax.servlet.http.HttpServletRequest;
6. import javax.servlet.http.HttpServletResponse;
7. import java.io.IOException;
9. @Order(Ordered.HIGHEST_PRECEDENCE)
10. @Configuration
11. public class GlobalCorsFilter implements Filter {
13.     @Override
14.     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
15.         HttpServletResponse response = (HttpServletResponse) res;
16.         HttpServletRequest request = (HttpServletRequest) req;
17.         //允许所有的域访问，可以设置只允许自己的域访问
18.         //服务器只需要告诉浏览器允许的域
19.         response.setHeader("Access-Control-Allow-Origin", "*");
20.         //response.setHeader("Access-Control-Allow-Origin", "http://www.domain1.com");
21.         //允许所有方式的请求(GET、POST),用于告知浏览器哪些方法是被允许的
22.         response.setHeader("Access-Control-Allow-Methods", "*");
23.         //指定了预检请求（OPTIONS请求）的有效期，单位为秒。在有效期内，浏览器可以直接发送实际请求，而无需再次发送预检请求。
24.         //（如果不设 Chromium 同时规定了一个默认值 5 秒），没有缓存将以OPTIONS进行预请求
25.         response.setHeader("Access-Control-Max-Age", "3600");
26.         //允许的头信息，告知浏览器哪些自定义请求头字段是被允许的
27.         response.setHeader("Access-Control-Allow-Headers", "x-requested-with, authorization");
28.         //代表是预检请求
29.         if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
30.             //直接让预检请求返回200，告诉浏览器可以发送实际请求了
31.             response.setStatus(HttpServletResponse.SC_OK);
32.         } else {
33.             //添加完头部信息后，直接放行
34.             chain.doFilter(req, res);
35.         }
36.     }
37. }

复制代码

2、一些问题

关于各项哀求头的作用

关于预检哀求

简言之就是发送OPTION哀求到服务器，服务器根据预检哀求的哀求头信息，自行判断是否答应跨域，并把判断结果放到响应的header中返回给浏览器。预检哀求的哀求头中包罗了一些关键信息，比方哀求方法、哀求头字段、哀求的URL等。以下是一个预检哀求的示例：

1. 请求方法：OPTIONS
2. URL：https://www.example.com/api/data
4. 请求头字段：
5. Origin: https://www.example.com
6. Access-Control-Request-Method: POST
7. Access-Control-Request-Headers: Content-Type

复制代码

这个示例中，浏览器向 https://www.example.com 发送了一个OPTIONS哀求，用于检查是否答应发送POST哀求，并且是否答应包罗Content-Type哀求头字段。预检哀求的服务器是当前URL的服务器，而不是跳转页面URL的服务器。预检哀求是在发送实际哀求之前进行的，用于检查服务器是否答应跨域哀求。因此，预检哀求会发送到当前URL的服务器，以获取服务器的许可。

3、一些增补

关于跨域的前端实现或者nginx实现，跳这篇：【跨域】 。文章部分概念贴图：

[截图泉源：上面链接]
4、疑问点

我明白的是判断下是否为OPTION哀求方式，是则加答应跨域的头部，不懂为啥旧项目给全部的哀求都加：

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。