java 解决ajax跨域问题

要知道跨域请求就要先了解同源策略，那么什么是同源？什么是不同源？简单来说就是，如果两个资源，包括HTML页面、JavaScript脚本、css样式，对应的协议、域名和端口完全相同，那么这两个资源就是同源的，Same-origin policy解释得很清楚。那么同源策略的意思就是一个源中的资源访问另外一个源中的资源，在在这一点上JavaScript的跨站资源访问表现的更加明显。在HTML5之前Ajax是不允许发起跨站请求的，如果有需求的话，可以使用JSONP等方法，但是缺点就是：

• 只支持

  Get

  不支持

  Post

  ;
• 本质上是脚本注入的方式，存在安全隐患；

还有JSONP的优缺点，但是自从HTML5出现之后，提出了CORS（跨站资源共享）这种方式，极大地方便了日常的开发。如果要理解CORS的工作原理，首先要知道跨域访问是怎么被禁止的，之前本屌丝一直以为是前台的跨域访问请求不能发出去，是实现同源策略的浏览器拦截了该请求，但是后来才知道浏览器并没有拦截请求，而是拦截了服务器端返回的响应。 

所以如果要支持跨域访问，需要浏览器和后台服务器程序同时支持，如果这两个条件不能同时满足，则还是不能支持跨域访问。

用于CORS中的Http的首部有如下几个：

• 响应头
  • Access-Control-Allow-Origin: 允许跨域访问的域，可以是一个域的列表，也可以是通配符”*”；
  • Access-Control-Allow-Methods: 允许使用的请求方法，以逗号隔开；
  • Access-Control-Allow-Headers: 允许自定义的头部，以逗号隔开，大小写不敏感；
  • Access-Control-Expose-Headers: 允许脚本访问的返回头，请求成功后，脚本可以在XMLHttpRequest中访问这些头的信息
  • Access-Control-Allow-Credentials: 是否允许请求带有验证信息，XMLHttpRequest请求的withCredentials标志设置为true时，认证通过，浏览器才将数据给脚本程序。
  • Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内，所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据，非常有用，大幅优化请求次数；
• 请求头
  • Origin: 普通的HTTP请求也会带有，在CORS中专门作为Origin信息供后端比对,表明来源域，要与响应头中的Access-Control-Allow-Origin相匹配才能进行跨域访问；
  • Access-Control-Request-Method: 将要进行跨域访问的请求方法，要与响应头中的Access-Control-Allow-Methods相匹配才能进行跨域访问；
  • Access-Control-Request-Headers: 自定义的头部，所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中，要与响应头中的Access-Control-Allow-Headers相匹配才能进行跨域访问

从支持跨域访问的范围说，可以有整个服务器、单个应用程序、单个接口。

java服务器端解决跨域问题：现在很多开发的API都支持ajax直接请求，这样就会导致跨域的问题，解决跨域的问题一方面可以从前端，另一方面就是服务器端。

既然是搞服务器端，做对外的API服务，当然是做到越简单越好，前端只需要傻傻的使用就好。拦截器：

@Component

• public class TestDomainFilter implements Filter {
• private Logger logger = LoggerFactory.getLogger( TestDomainFilter. class);
• @ Override
• public void init( FilterConfig filterConfig) throws ServletException {
• // TODO Auto-generated method stub
• }
• @ Override
• public void doFilter( ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
• HttpServletResponse response = ( HttpServletResponse) servletResponse;
• response.setHeader( "Access-Control-Allow-Origin", "*");
• response.setHeader( "Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
• response.setHeader( "Access-Control-Max-Age", "3600");
• response.setHeader( "Access-Control-Allow-Headers", "x-requested-with,Authorization");
• response.setHeader( "Access-Control-Allow-Credentials", "true");
• filterChain.doFilter(servletRequest, servletResponse);
• }
• 方法二、spring boot中只用在Controller类上添加一个“@CrossOrigin“注解就可以实现对当前controller 的跨域 访问了，当然这个标签也可以加到方法上。

要知道跨域请求就要先了解同源策略，那么什么是同源？什么是不同源？简单来说就是，如果两个资源，包括HTML页面、JavaScript脚本、css样式，对应的协议、域名和端口完全相同，那么这两个资源就是同源的，Same-origin policy解释得很清楚。那么同源策略的意思就是一个源中的资源访问另外一个源中的资源，在在这一点上JavaScript的跨站资源访问表现的更加明显。在HTML5之前Ajax是不允许发起跨站请求的，如果有需求的话，可以使用JSONP等方法，但是缺点就是：

• 只支持

  Get

  不支持

  Post

  ;
• 本质上是脚本注入的方式，存在安全隐患；

还有JSONP的优缺点，但是自从HTML5出现之后，提出了CORS（跨站资源共享）这种方式，极大地方便了日常的开发。如果要理解CORS的工作原理，首先要知道跨域访问是怎么被禁止的，之前本屌丝一直以为是前台的跨域访问请求不能发出去，是实现同源策略的浏览器拦截了该请求，但是后来才知道浏览器并没有拦截请求，而是拦截了服务器端返回的响应。 

所以如果要支持跨域访问，需要浏览器和后台服务器程序同时支持，如果这两个条件不能同时满足，则还是不能支持跨域访问。

用于CORS中的Http的首部有如下几个：

• 响应头
  • Access-Control-Allow-Origin: 允许跨域访问的域，可以是一个域的列表，也可以是通配符”*”；
  • Access-Control-Allow-Methods: 允许使用的请求方法，以逗号隔开；
  • Access-Control-Allow-Headers: 允许自定义的头部，以逗号隔开，大小写不敏感；
  • Access-Control-Expose-Headers: 允许脚本访问的返回头，请求成功后，脚本可以在XMLHttpRequest中访问这些头的信息
  • Access-Control-Allow-Credentials: 是否允许请求带有验证信息，XMLHttpRequest请求的withCredentials标志设置为true时，认证通过，浏览器才将数据给脚本程序。
  • Access-Control-Max-Age: 缓存此次请求的秒数。在这个时间范围内，所有同类型的请求都将不再发送预检请求而是直接使用此次返回的头作为判断依据，非常有用，大幅优化请求次数；
• 请求头
  • Origin: 普通的HTTP请求也会带有，在CORS中专门作为Origin信息供后端比对,表明来源域，要与响应头中的Access-Control-Allow-Origin相匹配才能进行跨域访问；
  • Access-Control-Request-Method: 将要进行跨域访问的请求方法，要与响应头中的Access-Control-Allow-Methods相匹配才能进行跨域访问；
  • Access-Control-Request-Headers: 自定义的头部，所有用setRequestHeader方法设置的头部都将会以逗号隔开的形式包含在这个头中，要与响应头中的Access-Control-Allow-Headers相匹配才能进行跨域访问

从支持跨域访问的范围说，可以有整个服务器、单个应用程序、单个接口。

java服务器端解决跨域问题：现在很多开发的API都支持ajax直接请求，这样就会导致跨域的问题，解决跨域的问题一方面可以从前端，另一方面就是服务器端。

既然是搞服务器端，做对外的API服务，当然是做到越简单越好，前端只需要傻傻的使用就好。拦截器：

@Component