5 跨域问题

浏览器出于安全的考虑，使用XMLHttpRequest对象发起HTTP请求时必须遵守同源策略，否则就是跨域的HTTP请求，默认情况下是被禁止的。同源策略要求源相同才能正常进行通信，即协议、域名、端口号都完全一致。

前后端分离项目，前端项目和后端项目一般都不是同源的，所以肯定会存在跨域请求的问题。

本身springboot就自带了解决跨域问题的方法，但是光用springboot的那一套显然是不够用的，我们现在的资源请求都是交给spring security帮助我们进行管理、保护。这个过程中，访问资源还需要经过spring security这一关，如果spring security是不允许跨域的，那还是不能访问资源。

所以我们就要处理一下，让前端能进行跨域请求。

①先对SpringBoot配置，允许跨域请求

package config;

import ...

@Configuration
public class CorsConfig implements WebMvcConfigurer {
	@Override
	public void addCorsMappings(CorsRegistry registry) {
		//设置允许跨域的路径
		registry.addMapping("/**")
		//设置允许跨域请求的域名
		.allowedoriginPatterns("*")
		//是否允许cookie
		.allowCredentials(true)
		//设置允许的请求方式
		.allowedMethods("GET","POST","DELETE","PUT")
		// 设置允许的header属性
		.allowedHeaders("*")
		//跨域允许时间
		.maxAge(3600);
    }
}

②开启SpringSecurity的跨域访问

由于我们的资源都会收到Spring Security的保护，所以想要跨域访问还要让Spring Security运行跨域访问。

实际上就是在我们spring security的配置类中，configure方法中允许跨域。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Overrride
	protected void configure(HttpSecurity http) throws Exception {
	
    	//之前的代码
    	...
            
        //允许跨域
        http.cors();
    }

}

有的朋友可能会发现浏览器发送了两次数据请求给后端，实际上第一次是options请求，用于跨域时与服务端协商，不产生实际数据调用;专业的说法叫 预检请求，如果一个请求时非简单请求，会提前发送一个OPTIONS的预检请求，来决定是否发送真实请求，可以去看看HTTP CORS规则文档。