跨域的解决方案
网上跨域的解决方案有很多,但是比较新一点有两种,一个是jsonp,一个是cors。
cors比jsonp还要新一些,本文所述都是基于cors的。但是jsonp可以在不支持cors的浏览器中使用。
如果只是开发的时候临时需要跨域,生产环境下前台和后台都部署到同一个域名下,不会发生跨域的话,那么我推荐用这个谷歌插件。它不需要改后台代码,相当于返回的请求头部自动加了:
Access-Control-Allow-Origin : *
这样用通配符就可以临时解决跨域问题。
携带cookies的跨域解决方案
有的时候访问后台的请求需要携带cookie以供后台分析,比如jQuery的ajax请求:
$.ajax({
url: a_cross_domain_url,
xhrFields: {
withCredentials: true
}
});
这个时候就要求能跨域,还要能携带cookies,我没找到能实现这两个的插件,也就是要更改后台代码。
携带cookies也就是要返回Access-Control-Allow-Credentials: true
,在Java
下的实现大概是这个样子:
response.addHeader("Access-Control-Allow-Credentials", "true");
关于跨域的Access-Control-Allow-Origin
头,再像上面那样设置为*
就不行了,会报错。在Access-Control-Allow-Credentials
设置为true
的时候,Access-Control-Allow-Origin
不能被设置为通配符。所以解决思路就是在返回的时候设置为请求头中Origin
的值。在Java下的实现大致是这样的:
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
这样就能实现基于cors的携带cookies的跨域访问了。