Javascript实现跨域后台设置拦截的方法详解

本文主要给大家介绍了关于Javascript跨域后台设置拦截的相关内容，分享出来供大家参考学习，话不多说了，来一起看看详细的介绍吧。

子域名之间互相访问需要跨域

结论放在开头：

1.服务端必须设置允许跨域

2.客户端带cookie需要设置 withCredentials

3.无论服务端是否允许跨域，该request都会完整执行

4. options 预请求需要设置返回空，不然requestMapping没有支持该方法则出错

环境搭建

需求

首先需要搭建两个环境。一个是提供API的server A，一个是需要跨域访问API的server B。

Server A提供了一个api。完整的请求request是：

https://local.corstest.com.net:8443/contentmain/getDepositsRoomAndRatePlanInfo.json?htid=759&_=1490855801818

Server B有个页面page:

http://cros.corstest.com.net:3001/test.html

并且这个page需要请求server A的api。

但由于跨域保护，请求失败：

No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'xxxxx' is therefore not allowed access.

修改host

首先本地配置两个指向127.0.0.1的host，方便互相跨域。

127.0.0.1 local.corstest.com.net 
127.0.0.1 cros.corstest.com.net

启动项目A，方便提供API。

至于项目B，测试跨域只要写个html静态页面即可。那么就写一个test.html，并通过一个工具发布：

 browser-sync 

安装

npm install -g browser-sync

本地启动一个test.html

browser-sync start --server --files "*.html" --host "cros.corstest.com.net" --port 3001

关于跨域CORS

ruanyifeng 的文章里说浏览器将CORS请求分成两类：简单请求（simple request）和非简单请求（not-so-simple request）。

其中同时满足一下2种标准即为简单跨域：

1) 请求方法是以下三种方法之一：

• HEAD
• GET
• POST

2）HTTP的头信息不超出以下几种字段：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

而其他情况，非简单请求是那种对服务器有特殊要求的请求，比如请求方法是  PUT 或 DELETE ，或者 Content-Type 字段的类型是 application/json 。非简单请求的CORS请求，会在正式通信之前，增加一次HTTP查询请求，称为"预检"请求（preflight），即 options 请求。

关键

跨域的关键是浏览器获得服务器的认可，而服务器的认可就是header里的 Access-Control-Allow-Origin 。浏览器通过比较服务端返回的response中是否包含这个字段，以及包含这个字段的内容是否是当前网址来确定是否跨域。也就是说绕过浏览器是可以不用跨域的。

有个问题，看好多文章并没有指出。

第一点，带cookie问题。浏览器设置 withCredentials 为 true 则会带cookie发送给服务端。而服务端设置 Access-Control-Allow-Credentials 为 true 则接收， false 则不接受。关键是到filter里的时候才会决定是否设置response，那么这时候cookie已经存在request里了吧。（待验证）

验证：server端确实已经接受了cookie，即使设置为false，服务端仍旧接受cookie。而客户端也仍旧可以发送cookie。

第二点，简单跨域中，浏览器的请求直接发送给服务器，服务器返回是否支持跨域（即是否header加origin）, 那么简单跨域究竟是请求了服务端几次？如果是1次，那么如果服务端不支持跨域，即没有设置allow，还会不会继续走下去，会不会继续request得到结果后放入response？就是不论跨域不跨域服务器是否都会执行这个request对应的计算。因为所有的设置header都是给浏览器告知的，和服务端限制无关。（待验证）

验证：即使服务端没有设置允许跨域，当客户端请求过来时，服务端仍旧完整执行了请求并返回，只是客户端没有接收。

服务端需要做点工作

针对上述两种跨域。server A需要写一个filter。

<filter>
 <filter-name>cors</filter-name>
  <filter-class>com.test.filter.CorsFilter</filter-class>
 </filter>
 <filter-mapping>
  <filter-name>cors</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>
</filter>

Filter:

public class CorsFilter extends OncePerRequestFilter {

 @Override
 protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
   throws ServletException, IOException {
  URL requestURL = new URL(request.getRequestURL().toString());
  String hostName = requestURL.getHost();
  String origin = request.getHeader("Origin");

  int index = hostName.indexOf(".");

  if(index > -1) {
   String domainHost = hostName.substring(index, hostName.length());
   if(!StringUtils.isEmpty(origin) && origin.contains(domainHost)) {
    response.addHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
    response.addHeader("Access-Control-Allow-Origin", origin);
    response.addHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.addHeader("Access-Control-Allow-Headers", "Content-Type, Cookie, " +
      "Accept-Encoding, User-Agent, " +
      "Host, Referer, " +
      "X-Requested-With, Accept, " +
      "Accept-Language, Cache-Control, Connection");

    if (request.getHeader("Access-Control-Request-Method") != null && "OPTIONS".equals(request.getMethod())) {
     // CORS "pre-flight" request
     response.setStatus(200);
     return;
    }
   }
  }

  filterChain.doFilter(request, response);
 }
}

上述filter是为了同一个domain下，不同子域名可以跨域访问，而其他domain则不可以，因为我们需要共享cookie，所以设置 Access-Control-Allow-Credentials 为 true . 如果设置为 false 则不接受cookie。

客户端，即server B如果想要发送cookie则需要设置 withCredentials 为 true .

//原生
var xhr = new XMLHttpRequest();
xhr.withCredentials = true;
//jquery
$.ajax({
 ...
 xhrFields: {
  withCredentials: true
 }
 ...
});

注意：针对非简单跨域的时候发送 options 请求，服务端A需要告诉浏览器是否支持跨域即可，不要往下走了，不然到指定的requestMapping发现不支持这个方法就会很尴尬了，所以直接返回。

下面针对简单跨域和非简单跨域做测试：

<!DOCTYPE html>
<html lang="en">

 <meta charset="UTF-8">
 <title>test</title>

 <script src="jquery-1.11.3.js"></script>
</head>
<body>

<input type="button" value="GET_Default" onclick="testGetDefault()">
<input type="button" value="GET_JSON" onclick="testGetJSON()">
<input type="button" value="POST_Default" onclick="testPostDefault()">
<input type="button" value="POST_JSON" onclick="testPostJson()">
<input type="button" value="PUT" onclick="testPUT()">

<script>
 var getUrl = "https://local.corstest.com.net:8443/contentmain/getDepositsRoomAndRatePlanInfo.json?htid=759";
 var postUrl = "https://local.corstest.com.net:8443/contentmain/saveReservationDeposits.json?htid=759";

 function testGetDefault(){
  sendAjax("GET",getUrl, "json", "application/x-www-form-urlencoded");
 }
 function testGetJSON(){
  sendAjax("GET",getUrl, "json", "application/json; charset=utf-8");
 }
 function testPostDefault(){
  sendAjax("POST",postUrl, "json", "application/x-www-form-urlencoded");
 }

 function testPostJson(){
  sendAjax("POST",postUrl, "json", "application/json; charset=utf-8");
 }

 function testPUT(){
  sendAjax("PUT",postUrl, "json", "application/json; charset=utf-8");
 }

 
 function sendAjax(type, url, dataType, contentType){
  $.ajax( { 
   type: type,
   url: url,
   xhrFields: {
    withCredentials: true
   },
   dataType : dataType, // accept type
   contentType: contentType, //request type, default is application/x-www-form-urlencoded
   success: function(result){
    console.log(result);
   },
   error: function (xhr) {
    console.log(xhr);
   }
  });
 }


</script>
</body>
</html>

结果：

GET default:

只发送一个正常的get请求。

GET json:

先发送一个options如下：

General:
Request URL:https://local.corstest.com.net:8443/contentmain/getDepositsRoomAndRatePlanInfo.json?htid=759
Request Method:OPTIONS
Status Code:200 OK
Remote Address:127.0.0.1:8443

Response Headers:
Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:Content-Type, Cookie, Accept-Encoding, User-Agent, Host, Referer, X-Requested-With, Accept, Accept-Language, Cache-Control, Connection
Access-Control-Allow-Methods:GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin:http://cros.corstest.com.net:3001
Content-Length:0
Date:Thu, 30 Mar 2017 12:47:44 GMT
Server:Apache-Coyote/1.1

Request Headers:
Accept:*/*
Accept-Encoding:gzip, deflate, sdch, br
Accept-Language:zh-CN,zh;q=0.8
Access-Control-Request-Headers:content-type
Access-Control-Request-Method:GET
Connection:keep-alive
Host:local.corstest.com.net:8443
Origin:http://cros.corstest.com.net:3001
Referer:http://cros.corstest.com.net:3001/test.html
User-Agent:Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36

然后再发送正常的Get请求。

post default:

正常发送请求。

post json: 先发送一个options请求。然后再发送正常的请求。

其他同理，总之，非简单跨域会多发一次options请求来确认是否支持跨域，这时候服务端一定要返回支持跨域，并且直接返回即可。

总结

以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对的支持。

# javascript  # 跨域  # javascript跨域问题  # 跨域拦截  # Javascript跨域请求的4种解决方式  # Javascript 跨域访问解决方案  # JS跨域总结  # 5种处理js跨域问题方法汇总  # js跨域请求数据的3种常用的方法  # AJAX javascript的跨域访问执行  # 服务端  # 客户端  # 有个  # 然后再  # 不支持  # 设置为  # 不接受  # 都是  # 发送给  # 这时候  # 放在  # 相关内容  # 走了  # 说了  # 才会  # 还会  # 两种  # 不可以  # 不多  # 几次 

相关文章： 最好的网站制作公司,网购哪个网站口碑最好，推荐几个？谢谢？  湖南网站制作公司,湖南上善若水科技有限公司做什么的？  C++中引用和指针有什么区别？（代码说明）  如何获取PHP WAP自助建站系统源码？  如何自定义建站之星网站的导航菜单样式？  小自动建站系统：AI智能生成+拖拽模板，多端适配一键搭建  微网站制作教程,不会写代码，不会编程，怎么样建自己的网站？  建站之星如何通过成品分离优化网站效率？  动图在线制作网站有哪些,滑动动图图集怎么做？  建站中国官网：模板定制+SEO优化+建站流程一站式指南  建站之星代理商如何保障技术支持与售后服务？  高防服务器租用指南：配置选择与快速部署攻略  文字头像制作网站推荐软件,醒图能自动配文字吗？  较简单的网站制作软件有哪些,手机版网页制作用什么软件？  非常酷的网站设计制作软件,酷培ai教育官方网站？  香港服务器网站搭建教程-电商部署、配置优化与安全稳定指南  网站专业制作公司有哪些,做一个公司网站要多少钱？  建站主机数据库如何配置才能提升网站性能？  建站之星展会模板：智能建站与自助搭建高效解决方案  婚礼视频制作网站,学习*后期制作的网站有哪些？  高端云建站费用究竟需要多少预算？  如何撰写建站申请书？关键要点有哪些？  教学网站制作软件,学习*后期制作的网站有哪些？  建站主机选购指南：核心配置优化与品牌推荐方案    如何在IIS管理器中快速创建并配置网站？  专业企业网站设计制作公司,如何理解商贸企业的统一配送和分销网络建设？  如何快速搭建高效可靠的建站解决方案？  湖州网站制作公司有哪些,浙江中蓝新能源公司官网？  如何快速重置建站主机并恢复默认配置？  网站制作和推广的区别,想自己建立一个网站做推广，有什么快捷方法马上做好一个网站？  北京制作网站的公司,北京铁路集团官方网站？  建站之星安装路径如何正确选择及配置？  为什么Go需要go mod文件_Go go mod文件作用说明  重庆市网站制作公司,重庆招聘网站哪个好？  c++怎么实现高并发下的无锁队列_c++ std::atomic原子变量与CAS操作【详解】  香港服务器网站生成指南：免费资源整合与高速稳定配置方案  兔展官网 在线制作,怎样制作微信请帖？  如何用手机制作网站和网页,手机移动端的网站能制作成中英双语的吗？  如何在万网自助建站中设置域名及备案？  制作网站的软件下载免费,今日头条开宝箱老是需要下载怎么回事？  网站制作新手教程,新手建设一个网站需要注意些什么？  常州自助建站：操作简便模板丰富，企业个人快速搭建网站  如何在阿里云域名上完成建站全流程？  建站之星安装需要哪些步骤及注意事项？  免费的流程图制作网站有哪些,2025年教师初级职称申报网上流程？  浅析上传头像示例及其注意事项  建站主机功能解析：服务器选择与快速搭建指南  制作网站哪家好,cc、.co、.cm哪个域名更适合做网站？  详解一款开源免费的.NET文档操作组件DocX（.NET组件介绍之一）