CORS解决ajax跨域访问问题---

1. 

   /**
    * 登录验证
    * 
    * @author ruoyi
    */

   @CrossOrigin(origins = "http://127.0.0.1:8020", maxAge = 36000)
   @Controller
   public class LoginController extends BaseController
   { 
       @Autowired
       private IExamService examService;

       @GetMapping("/login")
       public String login(HttpServletRequest request, HttpServletResponse response)

2. Spring MVC 4.2 增加 CORS 支持

3.  

4. 跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说，域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg)，域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中，使用跨站 HTTP 请求加载各类资源（包括CSS、图片、JavaScript 脚本以及其它类资源），已经成为了一种普遍且流行的方式。

5.  

6. 正如大家所知，出于安全考虑，浏览器会限制脚本中发起的跨站请求。比如，使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略（same-origin policy）。 具体而言，Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求，而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序，开发人员渴望着在不丢失安全的前提下，Web 应用技术能越来越强大、越来越丰富。比如，可以使用 XMLHttpRequest 发起跨站 HTTP 请求。（这段描述跨域不准确，跨域并非浏览器限制了发起跨站请求，而是跨站请求可以正常发起，但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理，请求是发送到了后端服务器无论是否跨域！注意：有些浏览器不允许从HTTPS的域跨域访问HTTP，比如Chrome和Firefox，这些浏览器在请求还未发出的时候就会拦截请求，这是一个特例。）

7.  

8. 更多CORS介绍请看这里：

9.  

10. https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

11. 在WEB项目中，如果我们想支持CORS，一般都要通过过滤器进行实现，可以定义一些基本的规则，但是不方便提供更细粒度的配置，如果你想参考过滤器实现，你可以阅读下面这篇文章：

12.  

13. Spring MVC 从4.2版本开始增加了对CORS的支持

14.  

15. 在Spring MVC 中增加CORS支持非常简单，可以配置全局的规则，也可以使用@CrossOrigin注解进行细粒度的配置。

16.  

17. 使用@CrossOrigin注解

18.  

19. 先通过源码看看该注解支持的属性：

20.  

21. @Target({ ElementType.METHOD, ElementType.TYPE })

22. @Retention(RetentionPolicy.RUNTIME)

23. @Documented

24. public @interface CrossOrigin {

25.  

26. String[] DEFAULT_ORIGINS = { "*" };

27.  

28. String[] DEFAULT_ALLOWED_HEADERS = { "*" };

29.  

30. boolean DEFAULT_ALLOW_CREDENTIALS = true;

31.  

32. long DEFAULT_MAX_AGE = 1800;

33.  
34.  

35. /**

36. * 同origins属性一样

37. */

38. @AliasFor("origins")

39. String[] value() default {};

40.  

41. /**

42. * 所有支持域的集合，例如"http://domain1.com"。

43. * <p>这些值都显示在请求头中的Access-Control-Allow-Origin

44. * "*"代表所有域的请求都支持

45. * <p>如果没有定义，所有请求的域都支持

46. * @see #value

47. */

48. @AliasFor("value")

49. String[] origins() default {};

50.  

51. /**

52. * 允许请求头重的header，默认都支持

53. */

54. String[] allowedHeaders() default {};

55.  

56. /**

57. * 响应头中允许访问的header，默认为空

58. */

59. String[] exposedHeaders() default {};

60.  

61. /**

62. * 请求支持的方法，例如"{RequestMethod.GET, RequestMethod.POST}"}。

63. * 默认支持RequestMapping中设置的方法

64. */

65. RequestMethod[] methods() default {};

66.  

67. /**

68. * 是否允许cookie随请求发送，使用时必须指定具体的域

69. */

70. String allowCredentials() default "";

71.  

72. /**

73. * 预请求的结果的有效期，默认30分钟

74. */

75. long maxAge() default -1;

76.  

77. }

78.  

79. 如果你对这些属性的含义不是很明白，建议阅读下面的文章了解更多:

80.  

81. http://fengchj.com/?p=1888

82. 下面举例在方法和Controller上使用该注解。

83.  

84. 在Controller上使用@CrossOrigin注解

85.  

86. @CrossOrigin(origins = "http://domain2.com", maxAge = 3600)

87. @RestController

88. @RequestMapping("/account")

89. public class AccountController {

90.  

91. @RequestMapping("/{id}")

92. public Account retrieve(@PathVariable Long id) {

93. // ...

94. }

95.  

96. @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

97. public void remove(@PathVariable Long id) {

98. // ...

99. }

100. }

101.  

102. 这里指定当前的AccountController中所有的方法可以处理http://domain2.com域上的请求，

103.  

104. 在方法上使用@CrossOrigin注解

105.  

106. @CrossOrigin(maxAge = 3600)

107. @RestController

108. @RequestMapping("/account")

109. public class AccountController {

110.  

111. @CrossOrigin("http://domain2.com")

112. @RequestMapping("/{id}")

113. public Account retrieve(@PathVariable Long id) {

114. // ...

115. }

116.  

117. @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

118. public void remove(@PathVariable Long id) {

119. // ...

120. }

121. }

122.  

123. 在这个例子中，AccountController类上也有@CrossOrigin注解，retrieve方法上也有注解，Spring会合并两个注解的属性一起使用。

124.  

125. CORS全局配置

126.  

127. 除了细粒度基于注解的配置，你可能会想定义一些全局CORS的配置。这类似于使用过滤器，但可以在Spring MVC中声明，并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

128.  

129. 基于JAVA的配置

130.  

131. 看下面例子：

132.  

133. @Configuration

134. @EnableWebMvc

135. public class WebConfig extends WebMvcConfigurerAdapter {

136.  

137. @Override

138. public void addCorsMappings(CorsRegistry registry) {

139. registry.addMapping("/**");

140. }

141. }

142.  

143. 您可以轻松地更改任何属性，以及配置适用于特定的路径模式的CORS：

144.  

145. @Configuration

146. @EnableWebMvc

147. public class WebConfig extends WebMvcConfigurerAdapter {

148.  

149. @Override

150. public void addCorsMappings(CorsRegistry registry) {

151. registry.addMapping("/api/**")

152. .allowedOrigins("http://domain2.com")

153. .allowedMethods("PUT", "DELETE")

154. .allowedHeaders("header1", "header2", "header3")

155. .exposedHeaders("header1", "header2")

156. .allowCredentials(false).maxAge(3600);

157. }

158. }

159.  

160. 如果你使用Spring Boot，你可以通过这种方式方便的进行配置。

161.  

162. 基于XML的配置

163.  

164. <mvc:cors>

165. <mvc:mapping path="/**" />

166. </mvc:cors>

167.  

168. 这个配置和上面JAVA方式的第一种作用一样。

169.  

170. 同样，你可以做更复杂的配置：

171.  

172. <mvc:cors>

173.  

174. <mvc:mapping path="/api/**"

175. allowed-origins="http://domain1.com, http://domain2.com"

176. allowed-methods="GET, PUT"

177. allowed-headers="header1, header2, header3"

178. exposed-headers="header1, header2" allow-credentials="false"

179. max-age="123" />

180.  

181. <mvc:mapping path="/resources/**"

182. allowed-origins="http://domain1.com" />

183.  
184.