关于CORS跨域访问的解释,请参考下面的博客:
http://www.ruanyifeng.com/blog/2016/04/cors.html
缩简称一张图如下:
CORS跨域原理
实现跨域共需要四步:
第一步
基本不用做什么,浏览器都实现了跨域访问自动在Request Headers添加跨域的信息:
Origin: http://localhost:8089
Access-Control-Request-Headers: content-type
Access-Control-Request-Method: GET
第二步
服务端需要告诉浏览器,是否允许这个域名跨域访问自己,以及自己设置的跨域信息:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: content-type
Access-Control-Allow-Methods: GET
Access-Control-Allow-Origin: http://localhost:8089
Access-Control-Max-Age: 86400
体现在代码里就是:
/**
* 设置跨域请求.
*/
@Configuration
public class CorsConfig {
@Value("${cors.allowed.origin}")
private String allowedOrigin;
private CorsConfiguration buildConfig() {
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.setAllowCredentials(true);
corsConfiguration.setMaxAge(24 * 3600L); // 预检请求的有效期
if (null != allowedOrigin) {
String[] origins = allowedOrigin.split(",");
for (String origin : origins) {
corsConfiguration.addAllowedOrigin(origin); // 允许跨域请求的源地址
}
}
corsConfiguration.addAllowedHeader("*"); // 支持的所有头信息字段
corsConfiguration.addAllowedMethod("*"); // 支持的所有跨域请求的方法
return corsConfiguration;
}
/**
* Cors过滤器.
*/
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", buildConfig()); // 对接口配置跨域设置
return new CorsFilter(source);
}
}
将所有允许跨域访问的源地址以逗号分隔,配置在application.properties中既可。也可以
corsConfiguration.setAllowedOrigin(*) // 允许所有的域名跨域访问,但不建议这么设置
默认CORS请求不会携带Cookie和Http认证信息,但是个别浏览器比较顽固,不理会服务器的感受,强行发送Cookie,这时Access-Control-Allow-Origin就不能设为星号,必须指定明确的、与请求网页一致的域名。
第三步
第四步
这两就是正常的请求,只不过浏览器每次会有一个Origin头信息字段;服务器的回应,也都会有一个Access-Control-Allow-Origin头信息字段。
