跨域

什么是跨域？

为什么会发生ajax跨域？
浏览器限制
跨域【发出的请求不是本域】
XHR请求【json】

解决思路：
1：浏览器限制【浏览器禁止检查】；有问题，需要每个客户端都阻止
命令行参数启动：
找到chrome.exe所在的路径，在chrome.exe所在的路径按下shift键，点击右键，点击“在此处打开命令行窗口”，然后输入chrome --disable-web-security就可以了
2：XHR【不是json类型，jsonp】；有很多弊端
jsonp如何解决跨域
jsonp是什么？
需要后台改动

实现原理：
前端发出去的请求类型在浏览器可以看到是script类型的，浏览器是不会校验的。普通的ajax请求是xhr类型的。

弊端：
后台需要改动
只支持get
发送的不是xhr请求【xhr的新特性（异步，事件）无法使用】

3：跨域；【重点】
被调用方解决【支持跨域】：A域名调用B域名的时候，返回的信息里加入一些字段；告诉浏览器我允许A域名调用；那么浏览器通过校验，就不会报跨域安全问题；

解决方案：
服务器端实现
：添加响应头
Access-Control-Allow-Origin ,*
Access-Control-Allow-Methods,*

简单请求和非简单请求
简单请求：
比较常见的（简单请求）：
方法为：
GET
HEAD
POST

请求header里面：
无自定义头
Content-Type为以下几种：
text/plain
multipart/form-data
application/x-www-form-urlencoded

工作中常见的【非简单请求】有：
put,delete方法的ajax请求
发送json格式的ajax请求
带自定义头的ajax请求

如果请求是复杂请求，浏览器会先发送一个options预检命令即一个options请求，当该请求通过时才会再发送真正的请求。
服务端加Access-Control-Request-Headers: content-type类型
服务端加Access-Control-Max-Age:3600；表示1小时不需要再发预检命令

Access-Control-Allow-Origin ,【带cookie的请求无法通过】
解决办法：
服务端Access-Control-Allow-Origin ,http://localhost:8081【客户端域名全匹配不能使用】
服务端加Access-Control-Allow-Credentials为true

nginx配置
apache配置
spring解决方案

调用方解决【隐藏跨域】：通过代理浏览器发出去的都是A域名