线上问题CORS跨域问题总结

Posted 2022-12-11 在路上的德尔菲

一、什么是「CORS」

假设有个请求从百度页面(https://www.baidu.com)获取阿里巴巴用户(https://www.alibaba.com/user)信息，会展示下面保存信息

Failed to load https://www.alibaba.com/user: No A'ccess-Control-Allow-Origin' header is present on the requested resource. Origon 'https://www.baidu.com' is therefore not allowed access. 
Cross-Origin Read Blocking(CORB) blocked cross-orign response

之所以产生错误，是因为在https://www.baidu.com请求https://www.alibaba.com/user的资源产生了跨域，违反了浏览器的同源策略。所谓同源，必须是协议、域名、端口三者一致。

alibaba服务端告诉客户端浏览器，baidu要访问我的资源，需要把同源策略放开，客户端浏览器收到消息之后放行。
服务端和客户端传递的消息是通过HTTP header字段。

二、如何解决跨域

private static void doWithResponse(HttpServletRequest request, HttpServletResponse response) 
    response.setHeader("Access-Control-Allow-Origin", "*"); //允许哪些域名访问，支持通配符
    response.setHeader("Access-Control-Allow-Credentials", "true"); //是否允许请求时发送Cookie
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, PUT, DELETE");//允许哪些HTTP方法
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "access-token,Access-Control-Allow-Origin,Access-Control-Allow-Methods,Access-Control-Max-Age,authorization,Content-Type");//允许哪些HTTP头
    response.setHeader("access-token", "*");

注意response.setHeader("Access-Control-Allow-Origin", "*")表示允许所有域都可以访问，完全不符合浏览器同源策略，其他域名都可以访问应用资源，如果提供的资源存在敏感数据是不建议这么配置的
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")) 这样可以比较好解决