1 跨域的理解

跨域是指：浏览器A从服务器B获取的静态资源，包括Html、Css、Js，然后在Js中通过Ajax访问C服务器的静态资源或请求。即：浏览器A从B服务器拿的资源，资源中想访问服务器C的资源。

同源策略是指：浏览器A从服务器B获取的静态资源，包括Html、Css、Js，为了用户安全，浏览器加了限制，其中的Js通过Ajax只能访问B服务器的静态资源或请求。即：浏览器A从哪拿的资源，那资源中就只能访问哪。

同源是指：同一个请求协议(如：Http或Https)、同一个Ip、同一个端口，3个全部相同，即为同源。

2 跨域的处理

跨域的这种需求还是有的，因此，W3C组织制定了一个Cross-Origin Resource Sharing规范，简写为Cors，现在这个规范已经被大多数浏览器支持，从而，处理跨域的需求。

Cors需要在后端应用进行配置，因此，是一种跨域的后端处理方式，这么做也容易理解，一个你不认识的源来访问你的应用，自然需要应用进行授权。除了后端处理方式，也有前端的解决方案，如：JSONP，因这里我们主要讲解SpringBoot2.x对Cors的配置，暂不对前端解决方案进行详细说明。

3 跨域的分类

跨域分为以下3种

4 SpringBoot2.x配置Cors

@RestController
@RequestMapping(value = "/api/users")
@CrossOrigin
public class UsersController{@Autowiredprivate UsersService usersService;@PostMapping@CrossOriginpublic User create(@RequestBody User user) {return userService.save(user);}
}

其中，@CrossOrigin注解可以使用以下参数

• 备注说明

1. value、origins属性：配置允许访问的源，如: http://anxminise.cc，*表示允许全部的域名
2. methods属性：配置跨域请求支持的方式，如：GET、POST，且一次性返回全部支持的方式
3. maxAge属性：配置预检请求的有效时间， 单位是秒，表示：在多长时间内，不需要发出第二次预检请求
4. allowCredentials属性：配置是否允许发送Cookie，用于 凭证请求， 默认不发送cookie
5. allowedHeaders属性：配置允许的自定义请求头，用于 预检请求
6. exposedHeaders属性：配置响应的头信息， 在其中可以设置其他的头信息，不进行配置时， 默认可以获取到Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma字段

使用WebMvcConfigurer对象

@Configuration
public class MyConfiguration {@Beanpublic WebMvcConfigurer corsConfigurer() {return new WebMvcConfigurer() {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/api/**").allowedOrigins("*")  .allowCredentials(true).allowedMethods("GET", "POST", "DELETE", "PUT","PATCH").maxAge(3600);  }};}
}

或者这个方式：

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addMapping("/**").allowedOrigins("*").allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE").maxAge(3600).allowCredentials(true);}
}

其中，通过相应的方法实现跨域请求的配置