什么是跨域?
为什么会发生ajax跨域?
浏览器限制
跨域【发出的请求不是本域】
XHR请求【json】
解决思路:
1:浏览器限制【浏览器禁止检查】;有问题,需要每个客户端都阻止
命令行参数启动:
找到chrome.exe所在的路径,在chrome.exe所在的路径按下shift键,点击右键,点击“在此处打开命令行窗口”,然后输入chrome --disable-web-security就可以了
2:XHR【不是json类型,jsonp】;有很多弊端
jsonp如何解决跨域
jsonp是什么?
需要后台改动
实现原理:
前端发出去的请求类型在浏览器可以看到是script类型的,浏览器是不会校验的。普通的ajax请求是xhr类型的。
弊端:
后台需要改动
只支持get
发送的不是xhr请求【xhr的新特性(异步,事件)无法使用】
3:跨域;【重点】
被调用方解决【支持跨域】:A域名调用B域名的时候,返回的信息里加入一些字段;告诉浏览器我允许A域名调用;那么浏览器通过校验,就不会报跨域安全问题;
解决方案:
服务器端实现
:添加响应头
Access-Control-Allow-Origin ,*
Access-Control-Allow-Methods,*
简单请求和非简单请求
简单请求:
比较常见的(简单请求):
方法为:
GET
HEAD
POST
请求header里面:
无自定义头
Content-Type为以下几种:
text/plain
multipart/form-data
application/x-www-form-urlencoded
工作中常见的【非简单请求】有:
put,delete方法的ajax请求
发送json格式的ajax请求
带自定义头的ajax请求
如果请求是复杂请求,浏览器会先发送一个options预检命令即一个options请求,当该请求通过时才会再发送真正的请求。
服务端加Access-Control-Request-Headers: content-type类型
服务端加Access-Control-Max-Age:3600;表示1小时不需要再发预检命令
Access-Control-Allow-Origin ,【带cookie的请求无法通过】
解决办法:
服务端Access-Control-Allow-Origin ,http://localhost:8081【客户端域名全匹配不能使用】
服务端加Access-Control-Allow-Credentials为true
nginx配置
apache配置
spring解决方案
调用方解决【隐藏跨域】:通过代理浏览器发出去的都是A域名
