Access-Control-Allow-Origin 跨域问题

　　　1.同源、同源策略（Same origin policy）

　　　　同源指的是协议，端口，域名全部相同。

　　　　同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。

　　　2.跨域

　　　　Web 浏览器具有一个称为相同站点源策略的安全策略，此策略可阻止网页访问另一个域中的数据。 网站通常会让其服务器在后端请求其他站点服务器中的内容，由此避开浏览器中的检查，从而绕开此策略。

　　　3.前端跨域

　　　　通过前端方案绕开浏览器的安全策略，在不同的域之间进行数据传输或通信，比如用ajax向一个不同的域请求数据，或者通过js获取页面中不同域的框架(iframe)中的数据。

　　　跨域解决办法：

　　　　1.浏览器目标添加命令，允许跨域访问（此种方案只适合个人）：

　　　　　　第一种：--allow-file-access-from-files

　　　　　　第二种：--disable-web-security

　　　　2.后台配置web.xml过滤器（不推荐）　　　　　　

 <filter>
     <filter-name>CorsFilter</filter-name>
     <filter-class>com.itxc.filter.CORSFilter</filter-class>
 </filter>
 <filter-mapping>
     <filter-name>CorsFilter</filter-name>
     <url-pattern>/*</url-pattern>
 </filter-mapping>

　　　　

 <!-- 支持跨域 -->
     <filter>
         <filter-name>CORS</filter-name>
         <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
         <init-param>
             <param-name>cors.allowOrin</param-name>
             <param-value>*</param-value>
         </init-param>
         <init-param>
             <param-name>cors.supportedMethods</param-name>
             <param-value>GET, POST, HEAD, PUT, DELETE, OPTIONS</param-value>
         </init-param>
     </filter>
     <filter-mapping>
         <filter-name>CORS</filter-name>
         <url-pattern>/*</url-pattern>
     </filter-mapping>

支持跨域

　　　　3.配置Nginx代理服务器（推荐）

　　　　　　具体查看配置Nginx文章

　　　　4.JSONP方法，JSONP方法是一种非官方方法，而且这种方法只支持GET方式，不如POST方式安全。在被请求的Response header中加入header参数就可以实现ajax POST跨域访问了。

　　　　　　// 指定允许其他域名访问

　　　　　　header('Access-Control-Allow-Origin:*');

　　　　　　// 响应类型

　　　　　　header('Access-Control-Allow-Methods:POST');

　　　　　　// 响应头设置

　　　　　　header('Access-Control-Allow-Headers:x-requested-with,content-type');

　　　　　　Access-Control-Allow-Origin:* 表示允许任何域名跨域访问

　　　　　　如果需要指定某域名才允许跨域访问，只需把Access-Control-Allow-Origin:*改为Access-Control-Allow-Origin:允许的域名

　　　　5.通过iframe 方式跨域访问，具体不做详解。

　　　　总结：传统的跨域请求没有好的解决方案，无非就是jsonp和iframe，随着跨域请求的应用越来越多，W3C提供了跨域请求的标准方案（Cross-Origin Resource Sharing）。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Resource Sharing 规范，实现了跨域请求。在服务器响应客户端的时候，带上Access-Control-Allow-Origin头信息。

　　　　如果设置 Access-Control-Allow-Origin:*，则允许所有域名的脚本访问该资源。

　　　　Access-Control-Allow-Origin:http://www.phpddt.com.com,允许特定的域名访问

　　　　配置服务器配置信息：　　　　

 <system.web>
     <!--提供Web服务访问方式-->
     <webServices>
       <protocols>
         <add name="HttpSoap"/>
         <add name="HttpPost"/>
         <add name="HttpGet"/>
         <add name="Documentation"/>
       </protocols>
     </webServices>
  </system.web>

System.web

 <configuration>
  <system.webServer>
     <httpProtocol>
     <customHeaders>
       <add name="Access-Control-Allow-Methods" value="OPTIONS,POST,GET"/>
       <add name="Access-Control-Allow-Headers" value="x-requested-with,content-type"/>
       <add name="Access-Control-Allow-Origin" value="*" /> //* 是任意网站可以跨域，加域名可以指定域名跨域。
     </customHeaders>
   </httpProtocol>
   <modules>
     <add name="MyHttpModule" type="WebServiceDemo.MyHttpModule"/>
   </modules>
   </system.webServer>
 </configuration>

Configuration

备注：
作者：Shengming Zeng
博客：http://www.cnblogs.com/zengming/

本文是原创，欢迎大家转载；但转载时必须注明文章来源，且在文章开头明显处给明链接。
<欢迎有不同想法或见解的同学一起探讨，共同进步>