浅谈跨域问题，CORS跨域资源共享

1，何为跨域？

在理解跨域问题之前，你先要了解同源策略和URL，简单叙述：

1）同源策略

三同：协议相同，域名相同，端口相同；

目的：保证用户信息安全，防止恶意网站窃取数据。同源策略是必须的，否则cookie可以共享。

2）URL

三部分组成：

<传输协议>://<internet主机域名或者IP地址:端口号>/<路径>

协议：//域名:端口号/路径

http://www.123.com:8080/index.html

你只需要简单理解：协议，域名，端口号不同即为跨域，同时注意：域名www.123.com 对应域名ip:192.169.1.88 虽然都指向同一服务器，但也属于跨域

2，如何解决跨域问题

很简单，在此提供两种方法：

1）局部配置，在每个controller控制层加上注解@CrossOrigin即可；

2）全局配置,写个配置类，继承WebMvcConfigurerAdapter ，重写addCorsMappings方法即可，代码如下：

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;  

@Configuration
public class CorsConfig extends WebMvcConfigurerAdapter {  

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)  //是否允许发送cookie
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .maxAge(3600);
    }  

}

到此你基本了解并解决跨域问题，如果你只想知其然而不想知其所以然，到此即可。

3，CORS

跨域资源共享（corss-origin resource sharing）：CORS需要浏览器和服务器同时支持。目前所有浏览器都支持该功能，IE浏览器不能低于IE10。

整个CORS通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS通信与同源的AJAX通信没有差别，代码完全一样。

浏览器一旦发现AJAX请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。因此，实现CORS通信的关键是服务器。

只要服务器实现了CORS接口，就可以跨源通信。

CROS常见header：

1）Access-Control-Allow-Origin:http://localhost.com 表示允许http://localhost.com发起跨域请求。

2）Access-Control-Max-Age:3600 表示在3600 秒内不需要再发送预校验请求。

3）Access-Control-Allow-Methods: GET,POST,PUT,DELETE 表示允许跨域请求的方法。

4）Access-Control-Allow-Headers: content-type 表示允许跨域请求包含content-type，还有Authorization, Accept, Range, Origin

多个域名之间用逗号分隔，表示对所示域名提供跨域访问权限。"*"表示允许所有域名的跨域访问。