标签:cookie 技术分享 reg 脚本 max spring resource firefox turn
一个资源会发起一个跨域HTTP请求(Cross-site HTTP request), 当它请求的一个资源是从一个与它本身提供的第一个资源的不同的域名时 。
比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。
正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest
对象发起 HTTP 请求就必须遵守同源策略。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是CSRF跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)
more:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
CORS 全称为 Cross Origin Resource Sharing(跨域资源共享),服务端只需添加相关响应头信息,即可实现客户端发出 AJAX 跨域请求。
1 @CrossOrigin(origins = "http://domain2.com", maxAge = 3600) 2 @RestController 3 @RequestMapping("/account") 4 public class AccountController { 5 6 @RequestMapping("/{id}") 7 public Account retrieve(@PathVariable Long id) { 8 // ... 9 } 10 11 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") 12 public void remove(@PathVariable Long id) { 13 // ... 14 } 15 }
2. 在方法上使用
1 @CrossOrigin(maxAge = 3600) 2 @RestController 3 @RequestMapping("/account") 4 public class AccountController { 5 6 @CrossOrigin("http://domain2.com") 7 @RequestMapping("/{id}") 8 public Account retrieve(@PathVariable Long id) { 9 // ... 10 } 11 12 @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") 13 public void remove(@PathVariable Long id) { 14 // ... 15 } 16 }
另一中方法:
1 @Configuration 2 public class BeanConfiguration { 3 4 @Bean 5 public CorsFilter corsFilter() { 6 final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource(); 7 final CorsConfiguration corsConfiguration = new CorsConfiguration(); 8 corsConfiguration.setAllowCredentials(true); 9 corsConfiguration.addAllowedOrigin("*"); 10 corsConfiguration.addAllowedHeader("*"); 11 corsConfiguration.addAllowedMethod("*"); 12 urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration); 13 return new CorsFilter(urlBasedCorsConfigurationSource); 14 } 15 16 }
标签:cookie 技术分享 reg 脚本 max spring resource firefox turn
原文地址:https://www.cnblogs.com/wang-yaz/p/8966768.html