我们开发H5项目,通过JS调用某个远程接口时经常会出现这跨域的问题,一般的解决办法就是在服务器增加对请求头的判断。
这里我们讲一下在java中通过filter过滤器如何实现;当然,你也可以在nginx中配置,或者使用jsonp实现。
1、假如我命名为:CorsFilter.java
public class CorsFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // TODO Auto-generated method stub } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse res = (HttpServletResponse) response; res.setContentType("application/json;charset=UTF-8"); res.setHeader("Access-Control-Allow-Origin", "*"); res.setHeader("Access-Control-Allow-Methods", "POST, GET"); res.setHeader("Access-Control-Allow-Headers", "x-requested-with,content-type"); res.setHeader("Access-Control-Max-Age", "604800"); chain.doFilter(request, response); /* 跨域配置说明 * Access-Control-Allow-Origin 设置允许跨域的白名单,在白名单里的跨域请求是允许的。 * Access-Control-Allow-Methods 设置接受的方法,这里只接受POST方法。 * Access-Control-Allow-Headers 设置接受的请求头,用逗号分隔。 * Access-Control-Allow-Max-Age 设置预检的有效期,单位为秒。发送正式请求前,浏览器会预先发送一个预检请求,如果服务器返回了上述信息,表明是可以跨越请求的,然后才会正式发送请求。预检成功后,在有效期内就不用再发送了。 * Access-Control-Allow-Credentials 设置是否允许客户端携带验证信息 */ } @Override public void destroy() { // TODO Auto-generated method stub } }
这里我们提一下:Access-Control-Allow-Origin 这个配置,他是表示允许的白名单,“ * ” 表示不限。
这是一种比较粗暴的设置,容易引起DDOS攻击,所以,最好还是进行指定域名,如:Access-Control-Allow-Origin: "http://www.domain.com/"
但是,如果有多个域名怎么办?这里需要做一下判断,动态赋一下值。
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse res = (HttpServletResponse) response; String[] allowDomain = {"http://www.domain1.com", "http://www.domain2.com"}; Set<String> allowedOrigins = new HashSet<String>(Arrays.asList(allowDomain)); String originHeader = ((HttpServletRequest) request).getHeader("Origin"); if (allowedOrigins.contains(originHeader)) { res.setHeader("Access-Control-Allow-Origin", originHeader); res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); res.setHeader("Access-Control-Max-Age", "3600"); res.setHeader("Access-Control-Allow-Headers", "content-type, x-requested-with"); res.setHeader("Access-Control-Allow-Credentials", "true"); } chain.doFilter(request, response); }
2、在web.xml中配置如下
<!-- 跨域过滤器 --> <filter> <filter-name>cors</filter-name> <filter-class>com.domian.controller.filter.CorsFilter</filter-class> </filter> <filter-mapping> <filter-name>cors</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>