上周帮一家公司优化代码时，顺手把跨域的问题解决了， 这篇文章，我们聊聊 SpringBoot 项目处理跨域的四种技巧 。

1 什么是跨域

一 为什么需要跨域

同源策略是由 Netscape（网景） 提出的一个著名的安全策略，现在所有支持 JavaScript 的浏览器都会使用这个策略。

所谓同源是指域名、协议、端口都相同。以 http://www.xxxxx.com:80/ 为例，http:// 为协议，域名是 www.xxxxx.com，端口是80（提示：80 为默认端口，可以省略，若为其它端口则必须显示定义）。

1、概述

前后端数据交互经常会碰到请求跨域，什么是跨域，为什么需要跨域，以及常用有哪几种跨域方式，这是本文要探讨的内容。

1.CSRF漏洞

CSRF（Cross-site request forgery）跨站请求伪造，也被称为One Click Attack 或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常 不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击性往往不大流行（因此对其进行防范的资源也相对少）和难以防范，所以被认为比XSS更具危险性。

什么是跨域

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。

广义的跨域：

1）资源跳转：A链接、重定向、表单提交

2）资源嵌入：<link>、<script>、<img>、<frame>等dom标签，还有样式中background:url()、@font-face()等文件外链

3）脚本请求：js发起的ajax请求、dom和js对象的跨域操作等

前端开发中的跨域问题是指在浏览器中，使用Ajax请求从一个域名的网页向另一个域名的服务端请求数据时，因为浏览器的同源策略限制，导致请求无法成功。同源策略指的是，浏览器只允许网页向相同域名、端口、协议发起请求，否则就会出现跨域错误。

一、跨域问题的根源：浏览器的同源策略

1. 同源策略的定义

浏览器出于安全考虑（防止恶意网站窃取用户数据），要求网页只能访问同源资源，即协议（HTTP/HTTPS）、域名（如 example.com）和端口（如 8080）完全一致。若任意一项不同，则视为跨域请求，浏览器会拦截响应。

2. 跨域场景示例

同源策略是所有浏览器都必须遵循的一项安全原则，它的存在决定了浏览器在默认情况下无法对跨域请求的资源做进一步处理。为了实现跨域资源的共享，W3C制定了CORS规范。ASP.NET利用CorsMiddleware中间件提供了针对CORS规范的实现。（本文提供的示例演示已经同步到《ASP.NET Core 6框架揭秘-实例演示版》）

一、什么是跨域和同源策略

指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。

例如：a页面想获取b页面资源，如果a、b页面的协议、域名、端口、子域名不同，所进行的访问行动都是跨域的，而浏览器为了安全问题一般都限制了跨域访问，也就是不允许跨域请求资源。有一点必须要注意：跨域并不是请求发不出去，请求能发出去，服务端能收到请求并正常返回结果，只是结果被浏览器拦截了。之所以会跨域，是因为受到了同源策略的限制，同源策略要求源相同才能正常进行通信。