网关配置跨域问题

1.为什么有跨域问题？

跨域不一定会有跨域问题。

因为跨域问题是浏览器对于ajax请求的一种安全限制：一个页面发起的ajax请求，只能是与当前页域名相同的路径，这能有效的阻止跨站攻击。

因此：跨域问题 是针对ajax的一种限制。

但是这却给我们的开发带来了不便，而且在实际生产环境中，肯定会有很多台服务器之间交互，地址和端口都可能不同，怎么办？

2.解决跨域问题的方案

目前比较常用的跨域解决方案有3种：

• Jsonp
  最早的解决方案，利用script标签可以跨域的原理实现。
  限制：

  • 需要服务的支持
  • 只能发起GET请求

• nginx反向代理
  思路是：利用nginx把跨域反向代理为不跨域，支持各种请求方式
  缺点：需要在nginx进行额外配置，语义不清晰

• CORS
  规范化的跨域请求解决方案，安全可靠。
  优势：

  • 在服务端进行控制是否允许跨域，可自定义规则
  • 支持各种请求方式
    缺点：
  • 会产生额外的请求
    我们这里会采用cors的跨域方案。

3.实现非常简单*

虽然原理比较复杂：

• 浏览器端都有浏览器自动完成，我们无需操心
• 服务端可以通过拦截器统一实现，不必每次都去进行跨域判定的编写。

事实上，SpringMVC已经帮我们写好了CORS的跨域过滤器：CorsFilter ,内部已经实现了刚才所讲的判定逻辑，我们直接用就好了。

3.1在网关的配置文件上加上如下配置

我一开始没有添加这段配置，一直会报一个Origin过多的错误，致使找了很久才找到解决方案，别踩坑了。如果哪位大佬知道，可以给我解析一下原因，谢谢。

zuul：
  # 需要忽略的头部信息，不在传播到其他服务
  sensitive-headers: Access-Control-Allow-Origin
  ignored-headers: Access-Control-Allow-Origin,H-APP-Id,Token,APPToken

3.2添加配置类

@Configuration
public class GlobalCorsConfig {
    @Bean
    public CorsFilter corsFilter() {
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域,不要写*，否则cookie就无法使用了
        config.addAllowedOrigin("http://manage.jiumu.com");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        // 4）允许的头信息
        config.addAllowedHeader("*");

        //2.添加映射路径，我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);

        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
    }
}

到此就已经可以使用了。。。。。