Spring MVC 的跨域解決方案

一句話：同一個ip、同一個網(wǎng)絡(luò)協(xié)議、同一個端口，三者都滿足就是同一個域，否則就是跨域。

創(chuàng)新互聯(lián)建站是一家專注于成都做網(wǎng)站、網(wǎng)站設(shè)計與策劃設(shè)計,達拉特網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:達拉特等地區(qū)。達拉特做網(wǎng)站價格咨詢:18980820575

基于兩個方面：

a. web應(yīng)用本身是部署在不同的服務(wù)器上

b.基于開發(fā)的角度 --- 前后端分離

web應(yīng)用本身是部署在不同的服務(wù)器上，對應(yīng)的域名也就有所不同

比如百度。

主域名：

二級域名：， ，

需要在不同的域之間，通過ajax方式互相請求，是非常常見的需求。

Spring 4中增加了對jsonp的原生支持，只需要ControllerAdvice就可以開啟，方法如下：

首先新建一個Advice類，我們叫做“JsonpAdvice”，然后在里面定義接收jsonp請求的參數(shù)key：

@ControllerAdvice("cn.isy.web.sso.web")指定作用的包名

supper("callback")指定的是url中callback：

注意：

我們還可以重寫AbstractJsonpResponseBodyAdvice中的feforeBodyWriteInternal方法：

做到實現(xiàn)url攜帶callback就返回jsonp格式，沒有就返回正常格式

img

controller中

controller中的代碼正常編寫就OK，不用修改任何東西。

只要保證在cn.isy.web.sso.web包下即可！

jquery ajax

注意：必須使用jsonp的方式提交請求！

有關(guān)cors的介紹可以去詳細看一下，這里就不作重復(fù)了：

CORS詳解

跨資源共享CORS詳解

主要配置

使用注解CrossOrigin

在controller類上添加CrossOrigin注解表示當(dāng)前類中的所有入口函數(shù)都

可以實現(xiàn)跨域。也可以指定某個conroller中具體的方法。

img

了解一下這個注解的內(nèi)容：

img

jquery ajax的寫法

注意：這里不用使用jsonp的方式請求普通的ajax即可！，因為瀏覽器自己可以去做!

CORS全局配置

自己試了試沒有成功！

資料

解釋cors的原理不錯

讓自己變得更優(yōu)秀才可以有更多資源

搜索微信號（ID：芋道源碼），可以獲得各種 Java 源碼解析。

并且，回復(fù)【書籍】后，可以領(lǐng)取筆者推薦的各種 Java 從入門到架構(gòu)的書籍。

java為什么會有跨域問題

前言

相信大家在寫前端腳本的時候經(jīng)常會遇到發(fā)送數(shù)據(jù)到后臺的情況，但是由于瀏覽器的限制，不同域名之間的數(shù)據(jù)是不能互相訪問的，那前端怎么和后端如何進行數(shù)據(jù)之間的交換呢？

JavaScript由于安全性方面的考慮，不允許頁面跨域調(diào)用其他頁面的對象，那么問題來了，什么是跨域問題？

答：這是由于瀏覽器同源策略的限制，現(xiàn)在所有支持JavaScript的瀏覽器都使用了這個策略。那么什么是同源呢？所謂的同源是指三個方面“相同”：

域名相同

協(xié)議相同

端口相同

下面就舉幾個例子來幫助更好的理解同源策略。

URL

說明

是否允許通信

同一域名 ? ?允許 ?

不同域名 ? ?不允許 ?

同一域名不同端口 ? ?不允許 ?

同一域名不同協(xié)議 ? ?不允許 ?

在JAVA中處理跨域問題，通常有以下兩種常用的解決方法。

第一種解決方法

后臺代碼在被請求的Servlet中添加Header設(shè)置：

response.setHeader("Access-Control-Allow-Origin", "*");

PrintWriter out =null;

try

{

out = response.getWriter();

} catch (IOException e)

{

// TODO Auto-generated catch block

e.printStackTrace();

}

out.print("{'status':'ok'}");

out.flush();

out.close();

Access-Control-Allow-Origin這個Header在W3C標準里用來檢查該跨域請求是否可以被通過，如果值為*則表明當(dāng)前頁面可以跨域訪問。默認的情況下是不允許的。

在前端JS中需要向Servlet發(fā)出請求，請求代碼如下所示：

$.ajax({

url: "your url",

type:"get or post",

dataType:"json",

data:{

....

},

success:function(data){

...

}

第二種解決方法

通過jsonp跨域請求的方式。JSONP和JSON雖然只有一個字母的區(qū)別，但是他們完全就是兩回事，很多人很容易把他們搞混。JSON是一種數(shù)據(jù)交換的格式，而JSONP則是一種非官方跨域數(shù)據(jù)交互協(xié)議。

首先來說一下前端JS是怎么發(fā)送請求。代碼如下所示：

$.ajax({

url:"your url",

type:"get or post",

async:false,

dataType : "jsonp",

//服務(wù)端用于接收callback調(diào)用的function名的參數(shù)

jsonp:"callbackparam",

//callback的function名稱

jsonpCallback:"success_jsonpCallback",

success:function(data){

console.log(data);

},

error:function(data){

console.log(data);

}

});

這里的callbackparam和success_jsonpCallback可以理解為發(fā)送的data數(shù)據(jù)的鍵值對，可以自定義，但是callbackparam需要和后臺約定好參數(shù)名稱，因為后臺需要獲取到這個參數(shù)里面的值（即success_jsonpCallback）。

下面，最重要的來了，后臺怎么樣獲取和返回數(shù)據(jù)呢。代碼如下所示:

PrintWriter out =null;

String callback=req.getParameter("callbackparam");

String json=callback+"({'status':'ok'})";

try

{

out = resp.getWriter();

} catch (IOException e)

{

// TODO Auto-generated catch block

e.printStackTrace();

}

out.print(json);

out.flush();

out.close();

首先需要獲取參數(shù)名為callbackparam的值，這里獲取到的值就是“success_jsonpCallback”。然后將這個值加上一對小括號。小括號里放入你需要返回的數(shù)據(jù)內(nèi)容，比如這里我返回一個JSON對象。當(dāng)然你也可以返回其他對象，比如只返回一個字符串類型數(shù)據(jù)也可以。最后前端JS返回的數(shù)據(jù)就是這樣的：

success_jsonpCallback({'status':'ok'})

瀏覽器會自動解析為json對象，這時候你只需要在success回調(diào)函數(shù)中直接用data.status就可以了。

我的一個java請求，該如何設(shè)置別人就可以跨域訪問我的請求得到數(shù)據(jù)?

一、通過jsonp跨域

在js中，我們直接用XMLHttpRequest請求不同域上的數(shù)據(jù)時，是不可以的。但是，在頁面上引入不同域上的js腳本文件卻是可以的，jsonp正是利用這個特性來實現(xiàn)的。

比如，有個a.html頁面，它里面的代碼需要利用ajax獲取一個不同域上的json數(shù)據(jù)，假設(shè)這個json數(shù)據(jù)地址是,那么a.html中的代碼就可以這樣：

我們看到獲取數(shù)據(jù)的地址后面還有一個callback參數(shù)，按慣例是用這個參數(shù)名，但是你用其他的也一樣。當(dāng)然如果獲取數(shù)據(jù)的jsonp地址頁面不是你自己能控制的，就得按照提供數(shù)據(jù)的那一方的規(guī)定格式來操作了。

因為是當(dāng)做一個js文件來引入的，所以返回的必須是一個能執(zhí)行的js文件，所以這個頁面的php代碼可能是這樣的:

最終那個頁面輸出的結(jié)果是:

所以通過得到的js文件，就是我們之前定義的dosomething函數(shù),并且它的參數(shù)就是我們需要的json數(shù)據(jù)，這樣我們就跨域獲得了我們需要的數(shù)據(jù)。

這樣jsonp的原理就很清楚了，通過script標簽引入一個js文件，這個js文件載入成功后會執(zhí)行我們在url參數(shù)中指定的函數(shù)，并且會把我們需要的json數(shù)據(jù)作為參數(shù)傳入。所以jsonp是需要服務(wù)器端的頁面進行相應(yīng)的配合的。

知道jsonp跨域的原理后我們就可以用js動態(tài)生成script標簽來進行跨域操作了，而不用特意的手動的書寫那些script標簽。如果你的頁面使用jquery，那么通過它封裝的方法就能很方便的來進行jsonp操作了。

原理是一樣的，只不過我們不需要手動的插入script標簽以及定義回掉函數(shù)。jquery會自動生成一個全局函數(shù)來替換callback=?中的問號，之后獲取到數(shù)據(jù)后又會自動銷毀，實際上就是起一個臨時代理函數(shù)的作用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調(diào)用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調(diào)用jsonp的回調(diào)函數(shù)。

2、通過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中我們說的不能通過ajax的方法去請求不同源中的文檔。 它的第二個限制是瀏覽器中不同域的框架之間是不能進行js的交互操作的。有一點需要說明，不同的框架之間（父子或同輩），是能夠獲取到彼此的window對象的，但蛋疼的是你卻不能使用獲取到的window對象的屬性和方法(html5中的postMessage方法是一個例外，還有些瀏覽器比如ie6也可以使用top、parent等少數(shù)幾個屬性)，總之，你可以當(dāng)做是只能獲取到一個幾乎無用的window對象。比如，有一個頁面，它的地址是? ， 在這個頁面里面有一個iframe，它的src是, 很顯然，這個頁面與它里面的iframe框架是不同域的，所以我們是無法通過在頁面中書寫js代碼來獲取iframe中的東西的：

這個時候，document.domain就可以派上用場了，我們只要把?和?這兩個頁面的document.domain都設(shè)成相同的域名就可以了。但要注意的是，document.domain的設(shè)置是有限制的，我們只能把document.domain設(shè)置成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 可以設(shè)成a.b.example.com、b.example.com 、example.com中的任意一個，但是不可以設(shè)成 c.a.b.example.com,因為這是當(dāng)前域的子域，也不可以設(shè)成baidu.com,因為主域已經(jīng)不相同了。

在頁面??中設(shè)置document.domain:

在頁面??中也設(shè)置document.domain，而且這也是必須的，雖然這個文檔的domain就是example.com,但是還是必須顯示的設(shè)置document.domain的值：

這樣我們就可以通過js訪問到iframe中的各種屬性和對象了。

不過如果你想在?頁面中通過ajax直接請求?頁面，即使你設(shè)置了相同的document.domain也還是不行的，所以修改document.domain的方法只適用于不同子域的框架間的交互。如果你想通過ajax的方法去與不同子域的頁面交互，除了使用jsonp的方法外，還可以用一個隱藏的iframe來做一個代理。原理就是讓這個iframe載入一個與你想要通過ajax獲取數(shù)據(jù)的目標頁面處在相同的域的頁面，所以這個iframe中的頁面是可以正常使用ajax去獲取你要的數(shù)據(jù)的，然后就是通過我們剛剛講得修改document.domain的方法，讓我們能通過js完全控制這個iframe，這樣我們就可以讓iframe去發(fā)送ajax請求，然后收到的數(shù)據(jù)我們也可以獲得了。

3、使用window.name來進行跨域

window對象有個name屬性，該屬性有個特征：即在一個窗口(window)的生命周期內(nèi),窗口載入的所有的頁面都是共享一個window.name的，每個頁面對window.name都有讀寫的權(quán)限，window.name是持久存在一個窗口載入過的所有頁面中的，并不會因新頁面的載入而進行重置。

比如：有一個頁面a.html,它里面有這樣的代碼：

再看看b.html頁面的代碼：

a.html頁面載入后3秒，跳轉(zhuǎn)到了b.html頁面，結(jié)果為：

我們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設(shè)置的值。如果在之后所有載入的頁面都沒對window.name進行修改的話，那么所有這些頁面獲取到的window.name的值都是a.html頁面設(shè)置的那個值。當(dāng)然，如果有需要，其中的任何一個頁面都可以對window.name的值進行修改。注意，window.name的值只能是字符串的形式，這個字符串的大小最大能允許2M左右甚至更大的一個容量，具體取決于不同的瀏覽器，但一般是夠用了。

上面的例子中，我們用到的頁面a.html和b.html是處于同一個域的，但是即使a.html與b.html處于不同的域中，上述結(jié)論同樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎么樣通過window.name來跨域獲取數(shù)據(jù)的。還是舉例說明。

比如有一個頁面,需要通過a.html頁面里的js來獲取另一個位于不同域上的頁面里的數(shù)據(jù)。

data.html頁面里的代碼很簡單，就是給當(dāng)前的window.name設(shè)置一個a.html頁面想要得到的數(shù)據(jù)值。data.html里的代碼：

那么在a.html頁面中，我們怎么把data.html頁面載入進來呢？顯然我們不能直接在a.html頁面中通過改變window.location來載入data.html頁面，因為我們想要即使a.html頁面不跳轉(zhuǎn)也能得到data.html里的數(shù)據(jù)。答案就是在a.html頁面中使用一個隱藏的iframe來充當(dāng)一個中間人角色，由iframe去獲取data.html的數(shù)據(jù)，然后a.html再去得到iframe獲取到的數(shù)據(jù)。

充當(dāng)中間人的iframe想要獲取到data.html的通過window.name設(shè)置的數(shù)據(jù)，只需要把這個iframe的src設(shè)為就行了。然后a.html想要得到iframe所獲取到的數(shù)據(jù)，也就是想要得到iframe的window.name的值，還必須把這個iframe的src設(shè)成跟a.html頁面同一個域才行，不然根據(jù)前面講的同源策略，a.html是不能訪問到iframe里的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

上面的代碼只是最簡單的原理演示代碼，你可以對使用js封裝上面的過程，比如動態(tài)的創(chuàng)建iframe,動態(tài)的注冊各種事件等等，當(dāng)然為了安全，獲取完數(shù)據(jù)后，還可以銷毀作為代理的iframe。網(wǎng)上也有很多類似的現(xiàn)成代碼，有興趣的可以去找一下。

通過window.name來進行跨域，就是這樣子的。

4、使用HTML5中新引進的window.postMessage方法來跨域傳送數(shù)據(jù)

window.postMessage(message,targetOrigin)? 方法是html5新引進的特性，可以使用它來向其它的window對象發(fā)送消息，無論這個window對象是屬于同源或不同源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經(jīng)支持window.postMessage方法。

調(diào)用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數(shù)message為要發(fā)送的消息，類型只能為字符串；第二個參數(shù)targetOrigin用來限定接收消息的那個window對象所在的域，如果不想限定域，可以使用通配符 *? 。

需要接收消息的window對象，可是通過監(jiān)聽自身的message事件來獲取傳過來的消息，消息內(nèi)容儲存在該事件對象的data屬性中。

上面所說的向其他window對象發(fā)送消息，其實就是指一個頁面有幾個框架的那種情況，因為每一個框架都有一個window對象。在討論第二種方法的時候，我們說過，不同域的框架間是可以獲取到對方的window對象的，而且也可以使用window.postMessage這個方法。下面看一個簡單的示例，有兩個頁面

我們運行a頁面后得到的結(jié)果:

我們看到b頁面成功的收到了消息。

使用postMessage來跨域傳送數(shù)據(jù)還是比較直觀和方便的，但是缺點是IE6、IE7不支持，所以用不用還得根據(jù)實際需要來決定。

結(jié)語：

除了以上幾種方法外，還有flash、在服務(wù)器上設(shè)置代理頁面等跨域方式，這里就不做介紹了。

以上四種方法，可以根據(jù)項目的實際情況來進行選擇應(yīng)用，個人認為window.name的方法既不復(fù)雜，也能兼容到幾乎所有瀏覽器，這真是極好的一種跨域方法。

根據(jù)具體問題類型，進行步驟拆解／原因原理分析／內(nèi)容拓展等。

具體步驟如下：／導(dǎo)致這種情況的原因主要是……

如何解決跨域問題

由 于此前很少寫前端的代碼(哈哈，不合格的程序員啊)，最近項目中用到j(luò)son作為系統(tǒng)間交互的手段，自然就伴隨著眾多ajax請求，隨之而來的就是要解決 ajax的跨域問題。本篇將講述一個小白從遇到跨域不知道是跨域問題，到知道是跨域問題不知道如何解決，再到解決跨域問題，最后找到兩種方法解決ajax 跨域問題的全過程。

不知是跨域問題

起 因是這樣的，為了復(fù)用，減少重復(fù)開發(fā)，單獨開發(fā)了一個用戶權(quán)限管理系統(tǒng)，共其他系統(tǒng)獲取認證與授權(quán)信息，暫且稱之為A系統(tǒng)；調(diào)用A系統(tǒng)以B為例。在B系統(tǒng) 中用ajax調(diào)用A系統(tǒng)系統(tǒng)的接口(數(shù)據(jù)格式為json)，當(dāng)時特別困惑，在A系統(tǒng)中訪問相應(yīng)的url可正?；胤礿son數(shù)據(jù)，但是在B系統(tǒng)中使用 ajax請求同樣的url則一點兒反應(yīng)都沒有，好像什么都沒有發(fā)生一樣。這樣反反復(fù)復(fù)改來改去好久都沒能解決，于是求救同事，提醒可能是ajax跨域問 題，于是就將這個問題當(dāng)做跨域問題來解決了。

知跨域而不知如何解決

知道問題的確切原因，剩下的就是找到解決問題的方法了。google了好久，再次在同事的指點下知道jQuery的ajax有jsonp這樣的屬性可以用來解決跨域的問題。

找到一種解決方式

現(xiàn)在也知道了怎樣來解決跨域問題，余下的就是實現(xiàn)的細節(jié)了。實現(xiàn)的過程中錯誤還是避免不了的。由于不了解json和jsonp兩種格式的區(qū)別，也犯了錯誤，google了好久才解決。

首先來看看在頁面中如何使用jQuery的ajax解決跨域問題的簡單版：

復(fù)制代碼

$(document).ready(function(){

var url='"

+"?id=1callback=?';

$.ajax({

url:url,

dataType:'jsonp',

processData: false,

type:'get',

success:function(data){

alert(data.name);

},

error:function(XMLHttpRequest, textStatus, errorThrown) {

alert(XMLHttpRequest.status);

alert(XMLHttpRequest.readyState);

alert(textStatus);

}});

});

復(fù)制代碼

這樣寫是完全沒有問題的，起先error的處理函數(shù)中僅僅是alert(“error”)，為了進一步弄清楚是什么原因造成了錯誤，故將處理函數(shù)變 為上面的實現(xiàn)方式。最后一行alert使用為；parsererror。百思不得其解，繼續(xù)google，最終還是在萬能的stackoverflow找 到了答案，鏈接在這里。原因是jsonp的格式與json格式有著細微的差別，所以在server端的代碼上稍稍有所不同。

比較一下json與jsonp格式的區(qū)別：

json格式：

{

"message":"獲取成功",

"state":"1",

"result":{"name":"工作組1","id":1,"description":"11"}

}

jsonp格式：

callback({

"message":"獲取成功",

"state":"1",

"result":{"name":"工作組1","id":1,"description":"11"}

})

看出來區(qū)別了吧，在url中callback傳到后臺的參數(shù)是神馬callback就是神馬，jsonp比json外面有多了一層，callback()。這樣就知道怎么處理它了。于是修改后臺代碼。

后臺java代碼最終如下：

復(fù)制代碼

@RequestMapping(value = "/getGroupById")

public String getGroupById(@RequestParam("id") Long id,

HttpServletRequest request, HttpServletResponse response)

throws IOException {

String callback = request.getParameter("callback");

ReturnObject result = null;

Group group = null;

try {

group = groupService.getGroupById(id);

result = new ReturnObject(group, "獲取成功", Constants.RESULT_SUCCESS);

} catch (BusinessException e) {

e.printStackTrace();

result = new ReturnObject(group, "獲取失敗", Constants.RESULT_FAILED);

}

String json = JsonConverter.bean2Json(result);

response.setContentType("text/html");

response.setCharacterEncoding("utf-8");

PrintWriter out = response.getWriter();

out.print(callback + "(" + json + ")");

return null;

}

復(fù)制代碼

注意這里需要先將查詢結(jié)果轉(zhuǎn)換我json格式，然后用參數(shù)callback在json外面再套一層，就變成了jsonp。指定數(shù)據(jù)類型為jsonp的ajax就可以做進一步處理了。

雖然這樣解決了跨域問題，還是回顧下造成parsererror的原因。原因在于盲目的把json格式的數(shù)據(jù)當(dāng)做jsonp格式的數(shù)據(jù)讓ajax處理，造成了這個錯誤，此時server端代碼是這樣的：

復(fù)制代碼

@RequestMapping(value = "/getGroupById")

@ResponseBody

public ReturnObject getGroupById(@RequestParam("id") Long id,

HttpServletRequest request, HttpServletResponse response){

String callback = request.getParameter("callback");

ReturnObject result = null;

Group group = null;

try {

group = groupService.getGroupById(id);

result = new ReturnObject(group, "獲取成功", Constants.RESULT_SUCCESS);

} catch (BusinessException e) {

e.printStackTrace();

result = new ReturnObject(group, "獲取失敗", Constants.RESULT_FAILED);

}

return result;

}

復(fù)制代碼

至此解決ajax跨域問題的第一種方式就告一段落。

追加一種解決方式

追求永無止境，在google的過程中，無意中發(fā)現(xiàn)了一個專門用來解決跨域問題的jQuery插件-jquery-jsonp。

有第一種方式的基礎(chǔ)，使用jsonp插件也就比較簡單了，server端代碼無需任何改動。

來看一下如何使用jquery-jsonp插件解決跨域問題吧。

復(fù)制代碼

var url=""

+"?id=1callback=?";

$.jsonp({

"url": url,

"success": function(data) {

$("#current-group").text("當(dāng)前工作組:"+data.result.name);

},

"error": function(d,msg) {

alert("Could not find user "+msg);

}

});