Springboot解决跨域问题——CORS支持

一、什么是跨域

1、产生原因

我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。

同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略限制以下几种行为：

（1）Cookie、LocalStorage 和 IndexDB 无法读取
（2）DOM 和 Js对象无法获得
（3）AJAX 请求不能发送

2、跨域类型

当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域。

3、简单请求与非简单请求

（1）简单请求

简单请求就是使用设定的请求方式请求数据。只要同时满足以下两大条件，就属于简单请求。

（1）请求方法是以下三种方法之一：HEAD、GET和POST
（2）HTTP的头信息不超出以下几种字段：
Accept
Accept-Language
Content-Language
Last-Event-ID
Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

（2）非简单请求

非简单请求则是在使用设定的请求方式请求数据之前，先发送一个 OPTIONS 请求，探测服务端是否允许客户端发送非简单请求。只有"预检"通过后才会再发送一次请求用于数据传输。

OPTIONS请求的信息：

（1）Access-Control-Allow-Headers
该字段是一个逗号分隔的字符串，指定浏览器CORS请求支持额外发送的头信息字段，上例是content-type。
（2）Access-Control-Allow-Method
该字段是必须的，用来列出浏览器的该次CORS请求用到的HTTP方法，上例是POST。
（3）Access-Control-Allow-Origin
指明服务器支持的跨域浏览器页面
（4）Allow
指明服务器支持的浏览器请求方法

二、解决办法

● 通过jsonp跨域
● document.domain + iframe跨域
● location.hash + iframe
● window.name + iframe跨域
● postMessage跨域
● 跨域资源共享（CORS）
● nginx代理跨域
●nodejs中间件代理跨域
● WebSocket协议跨域

在 JavaEE 开发中，最常见的前端跨域请求解决方案是 JSONP，但是 JSONP 只支持 GET 请求，这是很大缺陷。
CORS 支持多种HTTP请求方法，使用也很方便。

CORS 介绍

CORS 是一个 W3C 标准，全称是"跨域资源共享"（Cross-origin resource sharing）。它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX 只能同源使用的限制。

CORS 需要浏览器和服务器同时支持。

浏览器端：

目前，所有浏览器都支持该功能（IE10以下不行）。整个 CORS 通信过程，都是浏览器自动完成，不需要用户参与。

服务端：

CORS 通信与 AJAX 没有任何差别，因此你不需要改变以前的业务逻辑。只不过，浏览器会在请求中携带一些头信息，我们需要以此判断是否允许其跨域，然后在响应头中加入一些信息即可。这一般通过过滤器完成即可。

预检请求

跨域请求会在正式通信之前，增加一次 HTTP 查询请求，称为"预检"请求（preflight）。
浏览器先询问服务器，当前网页所在的域名是否在服务器的许可名单之中，以及可以使用哪些 HTTP 动词和头信息字段。只有得到肯定答复，浏览器才会发出正式的 XMLHttpRequest 请求，否则就报错。
一个“预检”请求的样板：

OPTIONS /cors HTTP/1.1 Origin: http://localhost:1111  			// 会指出当前请求属于哪个域（协议+域名+端口）。服务会根据这个值决定是否允许其跨域。
Access-Control-Request-Method: GET		// 用到的请求方式
Access-Control-Request-Headers: X-Custom-Header	// 用到的头信息 User-Agent:
Mozilla/5.0...

预检请求的响应：

HTTP/1.1 200 OK 
Date: Mon, 01 Dec 2008 01: