JS跨域两三事

今日，前端开发要求新的Web服务需要支持跨域，因为要发起 Ajax 到后端web 服务域名请求数据；

前端application域名是 other.abc.com (举个栗子)  api接口域名是 another.abc.com。

后端web application是SpringMVC开发，于是，我在web.xml 配置了新Filter。

Filter代码是这样：

 public class CrossDomainFilter implements Filter {
 
     private static final Logger logger = LoggerFactory.getLogger(CrossDomainFilter.class);
 
     @Override
     public void init(FilterConfig filterConfig) throws ServletException {
 
     }
 
     @Override
     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
         HttpServletRequest req = (HttpServletRequest) request;
 
         String originDomain = req.getHeader("origin");  
 
         String[] hostSplit = StringUtils.split(originDomain, ".");
         String subDomain = null != hostSplit && hostSplit.length >= 2 ? hostSplit[hostSplit.length - 2] + "." + hostSplit[hostSplit.length - 1] : null;
 
         if (StringUtils.isNotEmpty(originDomain) && StringUtils.isNotEmpty(subDomain) && subDomain.equals("abc.com")) {
             // 允许js 跨域
             HttpServletResponse res = (HttpServletResponse) response;
             res.setHeader("Access-Control-Allow-Origin", originDomain);
             res.setHeader("Access-Control-Allow-Credentials", "true");
             res.setHeader("Access-Control-Allow-Methods", "*");
             res.setHeader("Access-Control-Allow-Headers", "x-requested-with,content-type");
         }
         chain.doFilter(request, response);
 
     }
 
     @Override
     public void destroy() {
 
     }
 }

开发完成后我本地写一个简单的页面做测试，是一个php编写的Web页面，一开始是这样的：

 <html>
 
     <head>
         <title>前端页面 - js跨域local测试</title>
         <script src="https://cdn.bootcss.com/jquery/3.2.1/core.js"></script>
     </head>
 
     <body>
 
         <a href="javascript:;" class="do_request">请求</a>
 
         <script type="text/javascript">
             $(function () {
                 $(".do_request").on("click", function () {
                     console.log("request sent!");
 
                     $.ajax({
 
                       url: "http://another.abc.com:8080/geo/gpsconvert",
                       data: {
                           "_gps":"120,30"
                       },
 
                       success: function (res) {
                           alert(res.succ);
                       },
                       dataType: "jsonp"
                     });
 
                 });
             });
         </script>
     </body>
 </html>

本地点击发 Ajax 请求给后端接口，发现 req.getHeader("origin")  这个返回总是 null，百思不得其解，

经过前端提示得知，发送ajax 请求必须按照下面：

 $.ajax({
   crossDomain: true,
   url: "http://another.abc.com:8080/geo/gpsconvert",
   data: {
       "_gps":"120,30"
   },
 
   success: function (res) {
         alert(res.succ);
 
   },
   dataType: "json"
 });

服务端的 origin 才能拿到 请求发起方的host，jsonp 不是真正的CORS！而是一种跨域trick，另外

jsonp 只支持GET！

设置  crossDomain: true  后，服务端 origin 正常。

对PHP 来说，只要一行代码：

　　$origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : null;

此外，Access-Control-Allow-Origin 的值谁请求上来给谁设置Response Header 即可。不建议设置 为 Access-Control-Allow-Origin: *

这样相当于所有请求的域都允许跨域了，显然不大合适。