use*_*565 5 java jquery spring-mvc access-control
我是网络开发的新手,经过网络的大量努力,我找到了解决方案.我正在分享它,因为我觉得它没有很好的文档记录,可以被其他人使用,因为我需要一些反馈.
我想给特定的域访问API.
首先,我尝试设置请求的标头但由于两个原因它根本不起作用.
第一个原因是我没有在crossdomain.xml中允许它:
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-http-request-headers-from domain="domain1WithoutSlashAtTheEnd" headers="*"/>
<allow-http-request-headers-from domain="domain2WithoutSlashAtTheEnd" headers="*"/>
</cross-domain-policy>
第二个原因是我尝试设置"access-control-allow-origin"标题,而它没用.像这样的任何自定义标头都会被忽略.实际上,服务器不需要任何类似的东西,他的默认行为允许我获得调用的原点(域),我可以在过滤器中处理它,如下所示:
String origin = hsRequest.getHeader("Origin");
if (allowedDomainList.contains(origin)) {
hsResponse.setHeader("Access-Control-Allow-Origin", origin);
} else {
throw new SomeException("domain not allowed");
}
其中"allowedDomainList"是一个String列表,其中我给出了允许访问我的API的所有域.它似乎工作正常.你怎么看待这件事?你会更具体地说:
headers="*"
也许只说"Access-Control-Allow-Origin".然后我看到有一个"安全"属性,我不知道该怎么做.
我的代码我也有问题:
<!DOCTYPE cross-domain-policy
SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
我想知道它如何干扰我的政策行为.它似乎没有影响,但我不清楚crossdomain.xml.
最后一点是关于jQuery(http://api.jquery.com/jQuery.ajax/).如果我们无法在服务器端获取它们,为什么jQuery有设置标题的东西?另外,它有两种"给"标题的方式:使用"beforeSend"和"headers".这两点对我来说没有意义,正如你上面所看到的,它让我最终失去了很多时间!
提前感谢您的回复!
与其考虑如何允许特定域访问您的 api,也许这些其他域应该以不同的方式访问您的 api。
如果其他域从那里的 Web 服务器而不是其客户端发出 Web 请求,您根本不必担心跨域脚本。
其他域的客户端可以发布到其自己的 Web 服务器,向您的服务器发出 Web 请求并将结果传递回其客户端。
此外,如果您担心安全性,还有很多方法可以保护您的 api,而无需维护具有访问权限的域列表。
| 归档时间: |
|
| 查看次数: |
1419 次 |
| 最近记录: |