推荐:阮一峰老师的这篇文章讲的很详细:http://www.ruanyifeng.com/blog/2016/04/cors.html
SpringMVC允许OPTIONS请求
问题产生:
最近在做一个新项目权限控制使用shiro来做,依据Token保持会话,请求时前端把Token放入Header里,在与前端调试时出现了跨域问题,我在拦截器里是这么配置的依然报跨域
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
解决问题:
继续排查问题F12发现前端请求接口方式是OPTIONS,之前还没注意过这种请求与其他请求的区别
简单总结一下:
简单请求
(1) 请求方法是以下三种方法之一 :HEAD 、GET、POST
(2) HTTP的头信息不超出以下几种字段: Accept、Accept-Language、Content-Language
Last-Event-ID、Content-Type
(3) Content-Type只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plai
不满足以上条件的是非简单请求。显然前端加入了自定义请求头就是非简单请求了,非简单请求会有一个预验证的操作,这个预验证就是OPTIONS请求,验证是否跨域,通过后才会发送真实的请求。
首先在web.xml配置SpringMVC允许OPTIONS请求
<init-param>
<param-name>dispatchOptionsRequest</param-name>
<param-value>true</param-value>
</init-param>
配置完以后
<servlet>
<servlet-name>springServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath*:/spring-mvc.xml</param-value>
</init-param>
<init-param>
<param-name>dispatchOptionsRequest</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
修改
response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
结果
response.setHeader("Access-Control-Allow-Headers", "X-Token,Content-Type, Authorization");
注意X-Token 是前端自定义Header的名字根据场景配置
自此问题解决,以上是我解决问题的步骤,根据环境业务的不同可能不能解决你的问题,仔细看文档一切问题将迎刃而解
网友评论