JAVA高级面试进阶训练营视频教程

admin

原因
出于安全考虑，浏览器有一个同源策略。浏览器中，异步请求的地址与目标地址的协议、域名和端口号三者与当前有不同，就属于跨域请求。

限制跨域访问是浏览器的一个安全策略，因为如果没有这个策略，那么就有被跨站攻击的危险。比如，攻击者在自己的网站A放置一个表单，这个表单发起DELETE请求，删除某个用户在B网站上的个人资料。如果没有同源策略保护，那么在同一个浏览器内，如果用户已经登录了B网站，这个删除的请求就会被接受，导致在用户不知情的情况下自己在B网站中的资料被删除。

解决方式
浏览器的同源策略提升了安全性，但是给需要在不同域名下开发的开发者带来了跨域问题。

解决跨域的问题主要有：
jsonp和cors。jsonp是利用 script 标签可以跨域加载的特性而创造出来的一种非正式的跨域解决方案。在实际开发中，推荐使用cors，即在服务端返回时加入允许跨域的请求头，允许指定域名的跨域访问。

千万要小心！这种直接加 * 号的做法是相当危险的，千万别这么做！

response.addHeader("Access-Control-Allow-Origin", "*");

正确的做法：

1. 创建一个 Filter 类
/**
 * 使用Filter的方式解决跨域问题
 */
public class CorsFilter implements Filter {
    private static final List<String> ALLOW_ORIGINS = Config.getListString("allowOrigins", ",");
    private static final String REQUEST_OPTIONS = "OPTIONS";
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String orgHeader = request.getHeader(HttpHeaders.ORIGIN);
        if (orgHeader != null && ALLOW_ORIGINS.contains(orgHeader)) {
            // 允许的跨域的域名
            response.addHeader("Access-Control-Allow-Origin", orgHeader);
            // 允许携带 cookies 等认证信息
            response.addHeader("Access-Control-Allow-Credentials", "true");
            // 允许跨域的方法
            response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PATCH, PUT, HEAD");
            // 允许跨域请求携带的请求头
            response.addHeader("Access-Control-Allow-Headers", "Content-Type, Content-Length, Authorization, Accept, X-Requested-With");
            // 返回结果可以用于缓存的最长时间，单位是秒。-1表示禁用
            response.addHeader("Access-Control-Max-Age", "3600");
            // 跨域预检请求，直接返回
            if (REQUEST_OPTIONS.equalsIgnoreCase(request.getMethod())) {
                return;
            }
        }
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

2. 在 web.xml 的最前面注册这个 Filter
<filter>
    <filter-name>corsfilter</filter-name>
     <filter-class>com.bj58.crm.plus.filter.CorsFilter</filter-class>
 </filter>
 <filter-mapping>
     <filter-name>corsfilter</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
 </filter-mapping>

前端使用 axios 可以先进行封装
http-util.js

let axios = require("axios");
let qs = require("qs");
axios.defaults.withCredentials = true;
axios.defaults.headers.post["Content-Type"] = "application/x-www-form-urlencoded";

function post(url, param) {
   return axios.post(url, qs.stringify(param))
}

function get(url, param) {
  axios.get(url, {params: param})
}

export default {
  get,
  post
};