CORS解决ajax跨域访问问题---

1. /**
    * 登录验证
    * 
    * @author ruoyi
    */

   @CrossOrigin(origins = "http://127.0.0.1:8020", maxAge = 36000)
   @Controller
   public class LoginController extends BaseController
   { 
       @Autowired
       private IExamService examService;

       @GetMapping("/login")
       public String login(HttpServletRequest request, HttpServletResponse response)

2. Spring MVC 4.2 增加 CORS 支持

3.  

4. 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说，域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg)，域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中，使用跨站 HTTP 请求加载各类资源（包括CSS、图片、JavaScript 脚本以及其它类资源），已经成为了一种普遍且流行的方式。

5.  

6. 正如大家所知，出于安全考虑，浏览器会限制脚本中发起的跨站请求。比如，使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略（same-origin policy）。 具体而言，Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求，而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序，开发人员渴望着在不丢失安全的前提下，Web 应用技术能越来越强大、越来越丰富。比如，可以使用 XMLHttpRequest 发起跨站 HTTP 请求。（这段描述跨域不准确，跨域并非浏览器限制了发起跨站请求，而是跨站请求可以正常发起，但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理，请求是发送到了后端服务器无论是否跨域！注意：有些浏览器不允许从HTTPS的域跨域访问HTTP，比如Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求，这是一个特例。）

7.  

8. 更多CORS介绍请看这里：

9.  

10. https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

11. 在WEB项目中，如果我们想支持CORS，一般都要通过过滤器进行实现，可以定义一些基本的规则，但是不方便提供更细粒度的配置，如果你想参考过滤器实现，你可以阅读下面这篇文章：

12.  

13. http://my.oschina.net/huangyong/blog/521891

14. Spring MVC 从4.2版本开始增加了对CORS的支持

15.  

16. 在Spring MVC 中增加CORS支持非常简单，可以配置全局的规则，也可以使用@CrossOrigin注解进行细粒度的配置。

17.  

18. 使用@CrossOrigin注解

19.  

20. 先通过源码看看该注解支持的属性：

21.  

22. @Target({ ElementType.METHOD, ElementType.TYPE })

23. @Retention(RetentionPolicy.RUNTIME)

24. @Documented

25. public @interface CrossOrigin {

26.  

27. String[] DEFAULT_ORIGINS = { "*" };

28.  

29. String[] DEFAULT_ALLOWED_HEADERS = { "*" };

30.  

31. boolean DEFAULT_ALLOW_CREDENTIALS = true;

32.  

33. long DEFAULT_MAX_AGE = 1800;

34.  
35.  

36. /**

37. * 同origins属性一样

38. */

39. @AliasFor("origins")

40. String[] value() default {};

41.  

42. /**

43. * 所有支持域的集合，例如"http://domain1.com"。

44. * <p>这些值都显示在请求头中的Access-Control-Allow-Origin

45. * "*"代表所有域的请求都支持

46. * <p>如果没有定义，所有请求的域都支持

47. * @see #value

48. */

49. @AliasFor("value")

50. String[] origins() default {};

51.  

52. /**

53. * 允许请求头重的header，默认都支持

54. */

55. String[] allowedHeaders() default {};

56.  

57. /**

58. * 响应头中允许访问的header，默认为空

59. */

60. String[] exposedHeaders() default {};

61.  

62. /**

63. * 请求支持的方法，例如"{RequestMethod.GET, RequestMethod.POST}"}。

64. * 默认支持RequestMapping中设置的方法

65. */

66. RequestMethod[] methods() default {};

67.  

68. /**

69. * 是否允许cookie随请求发送，使用时必须指定具体的域

70. */

71. String allowCredentials() default "";

72.  

73. /**

74. * 预请求的结果的有效期，默认30分钟

75. */

76. long maxAge() default -1;

77.  

78. }

79.  

80. 如果你对这些属性的含义不是很明白，建议阅读下面的文章了解更多:

81.  

82. http://fengchj.com/?p=1888

83. 下面举例在方法和Controller上使用该注解。

84.  

85. 在Controller上使用@CrossOrigin注解

86.  

87. @CrossOrigin(origins = "http://domain2.com", maxAge = 3600)

88. @RestController

89. @RequestMapping("/account")

90. public class AccountController {

91.  

92. @RequestMapping("/{id}")

93. public Account retrieve(@PathVariable Long id) {

94. // ...

95. }

96.  

97. @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

98. public void remove(@PathVariable Long id) {

99. // ...

100. }

101. }

102.  

103. 这里指定当前的AccountController中所有的方法可以处理http://domain2.com域上的请求，

104.  

105. 在方法上使用@CrossOrigin注解

106.  

107. @CrossOrigin(maxAge = 3600)

108. @RestController

109. @RequestMapping("/account")

110. public class AccountController {

111.  

112. @CrossOrigin("http://domain2.com")

113. @RequestMapping("/{id}")

114. public Account retrieve(@PathVariable Long id) {

115. // ...

116. }

117.  

118. @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

119. public void remove(@PathVariable Long id) {

120. // ...

121. }

122. }

123.  

124. 在这个例子中，AccountController类上也有@CrossOrigin注解，retrieve方法上也有注解，Spring会合并两个注解的属性一起使用。

125.  

126. CORS全局配置

127.  

128. 除了细粒度基于注解的配置，你可能会想定义一些全局CORS的配置。这类似于使用过滤器，但可以在Spring MVC中声明，并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

129.  

130. 基于JAVA的配置

131.  

132. 看下面例子：

133.  

134. @Configuration

135. @EnableWebMvc

136. public class WebConfig extends WebMvcConfigurerAdapter {

137.  

138. @Override

139. public void addCorsMappings(CorsRegistry registry) {

140. registry.addMapping("/**");

141. }

142. }

143.  

144. 您可以轻松地更改任何属性，以及配置适用于特定的路径模式的CORS：

145.  

146. @Configuration

147. @EnableWebMvc

148. public class WebConfig extends WebMvcConfigurerAdapter {

149.  

150. @Override

151. public void addCorsMappings(CorsRegistry registry) {

152. registry.addMapping("/api/**")

153. .allowedOrigins("http://domain2.com")

154. .allowedMethods("PUT", "DELETE")

155. .allowedHeaders("header1", "header2", "header3")

156. .exposedHeaders("header1", "header2")

157. .allowCredentials(false).maxAge(3600);

158. }

159. }

160.  

161. 如果你使用Spring Boot，你可以通过这种方式方便的进行配置。

162.  

163. 基于XML的配置

164.  

165. <mvc:cors>

166. <mvc:mapping path="/**" />

167. </mvc:cors>

168.  

169. 这个配置和上面JAVA方式的第一种作用一样。

170.  

171. 同样，你可以做更复杂的配置：

172.  

173. <mvc:cors>

174.  

175. <mvc:mapping path="/api/**"

176. allowed-origins="http://domain1.com, http://domain2.com"

177. allowed-methods="GET, PUT"

178. allowed-headers="header1, header2, header3"

179. exposed-headers="header1, header2" allow-credentials="false"

180. max-age="123" />

181.  

182. <mvc:mapping path="/resources/**"

183. allowed-origins="http://domain1.com" />