跨域解决方案CORS

一、什么是跨域

　出于浏览器的同源策略限制。

　同源策略（Sameoriginpolicy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的，浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源（即指在同一个域）就是两个页面具有相同的协议（protocol），主机（host）和端口号（port）

　如果跨域调用，会出现如下错误：

　　

　由于我们采用的是前后端分离的编程方式，前端和后端必定存在跨域问题。解决跨域问 题可以采用CORS 

二、CORS简介

　CORS 是一个 W3C 标准，全称是"跨域资源共享"（Cross-origin resource sharing）。

　CORS需要浏览器和服务器同时支持。目前，所有浏览器都支持该功能，IE 浏览器不能低于 IE10。它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX只能同源使用的限制。整个 CORS 通信过程，都是浏览器自动完成，不需要用户参与。对于开发者来说，CORS 通信与同源的 AJAX 通信没有差别，代码完全一样。浏览器一旦发现 AJAX 请求跨源，就会自动添加一些附加的头信息，有时还会多出一次附加的请求，但用户不会有感觉。因此，实现 CORS 通信的关键是服务器。只要服务器实现了 CORS接口，就可以跨源通信。

　请求过程如下图：

　　

　Preflight Request：

Accept: */*
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Access-Control-Request-Headers: access-control-allow-originAccess-Control-Request-Method: GET
Connection: keep-alive
Host: localhost:8888
Origin: http://localhost:63342

　然后服务器端给我们返回一个PreflightResponse

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: access-control -allow-originAccess-Control-Allow-Methods: GET, POST, DELETE, PUT
Access-Control-Allow-Origin: http://localhost:63342
Access-Control-Max-Age: 3600

　那么具体如何实现呢？springMVC的版本在4.2或以上版本，可以使用注解实现跨域。 我们只需要在Controller类上添加注解 @CrossOrigin 就可以了。