1、概念:出于防范跨站脚本攻击的同源安全策略,浏览器禁止客户端脚本(如Javascript)对不同域名的服务进行跨域调用。
2、是否跨域:根据 协议、域名[子域名]、端口号可以判断出数据是否是跨域。
解决方法:(1)jsonp
(2)cors
这里简单介绍cors处理数据跨域问题:
【1】简单请求:如get、post、head等,浏览器会发送一次真实跨域请求,服务器端在指定的请求业务方法中,添加请求头信息即可。
*注意简单请求服务器端不需要编写options方法。
处理方法:只需响应首部中可以携带一个Access-Control-Allow-Origin字段 (response.,setHeader("Access-Control-Allow-Origin","*"))
【2】复杂跨域请求:如 put、delete、[get、post、人为添加头信息]、浏览器会先发送预检请求 options--->服务器端必须接受options请求 在业务的方法体 doOptions 设置授权头信息
只有预检请求成功,浏览器接受响应头信息,浏览器才会发起真正的第二次跨域请求
*注意:第二次请求 服务器也要进行跨域头的授权 第一次和第二次请求 服务器都要授权跨域头信息!
doOptions代码:response.setHeader("Access-Control-Allow-Origin","*");//允许跨域请求
response.addHeader("Access-Control-Allow-Headers","aa");//aa指额外添加的头信息-->客户端可以自定义发送头信息
doPost代码:response.setHeader("Access-Control-Allow-Origin","*");//允许跨域请求
response.addHeader("Access-Control-Allow-Headers","aa");//aa指额外添加的头信息-->客户端可以自定义发送头信息