為什么有跨域的問(wèn)題

之所以會(huì)有跨域問(wèn)題，是因?yàn)锳JAX只能使用同源資源限制導(dǎo)致的，所以瀏覽器在向不同的域名進(jìn)行AJAX請(qǐng)求時(shí)，需要按照CORS標(biāo)準(zhǔn)來(lái)進(jìn)行跨域，才能獲取到不同源的資源。

CORS是一個(gè)W3C標(biāo)準(zhǔn)，全稱是"跨域資源共享"（Cross-origin resource sharing）。

進(jìn)行CORS跨域需要瀏覽器和服務(wù)器同時(shí)配合來(lái)完成：對(duì)與目前的瀏覽器來(lái)說(shuō)，都支持跨域請(qǐng)求，當(dāng)瀏覽器發(fā)現(xiàn)需要進(jìn)行跨域請(qǐng)求資源時(shí)候，會(huì)自動(dòng)對(duì)HTTP請(qǐng)求做處理，來(lái)向異源服務(wù)器申請(qǐng)資源；所以只需要服務(wù)器添加CORS接口，即可支持跨域資源請(qǐng)求。

對(duì)于簡(jiǎn)單的HTTP請(qǐng)求和非簡(jiǎn)單的HTTP請(qǐng)求，跨域的過(guò)程是不一樣的。

簡(jiǎn)單HTTP請(qǐng)求和非簡(jiǎn)單HTTP請(qǐng)求區(qū)分

只要同時(shí)滿足下列兩個(gè)條件，即可認(rèn)為是簡(jiǎn)單請(qǐng)求：

1. 請(qǐng)求方法是HEAD、GET、POST三種之一
2. HTTP的header頭信息最多只有下列幾種：

• Accept
• Accept-Language
• Content-Language
• Last-Event-ID
• Content-Type：為application/x-www-form-urlencoded、multipart/form-data、text/plain三種之一

不能同時(shí)滿足這兩個(gè)條件的，也就是非簡(jiǎn)單HTTP請(qǐng)求。

簡(jiǎn)單HTTP請(qǐng)求跨域過(guò)程

瀏覽器在處理簡(jiǎn)單請(qǐng)求時(shí)，會(huì)在頭信息中添加Origin字段，來(lái)標(biāo)識(shí)跨域請(qǐng)求的來(lái)源（協(xié)議 + 域名 + 端口），然后直接發(fā)送CORS請(qǐng)求，服務(wù)器根據(jù)這個(gè)值，決定是否同意這次請(qǐng)求。

GET /cors HTTP/1.1
Origin: http://abc.com
Host: api.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

當(dāng)Origin攜帶的源在服務(wù)器允許跨域的列表之中時(shí)，服務(wù)器需要顯式的在返回的響應(yīng)的頭信息中添加Access-Control-Allow-Origin字段，來(lái)允許此來(lái)源的跨域請(qǐng)求，該字段的值可以是Origin攜帶的請(qǐng)求來(lái)源，也可以是一個(gè)＊；除此之外，還可以添加其余的可選跨域頭字段，Access-Control-開(kāi)頭的都是與CORS相關(guān)的字段。

Access-Control-Allow-Origin: http://abc.com
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: FooBar
Content-Type: text/html; charset=utf-8

如果該來(lái)源不在跨域列表中時(shí)，服務(wù)器會(huì)正常返回一個(gè)HTTP響應(yīng)，但是不攜帶跨域頭信息，這個(gè)響應(yīng)會(huì)被瀏覽器攔截并拋出錯(cuò)誤。

非簡(jiǎn)單HTTP請(qǐng)求跨域過(guò)程

對(duì)于非簡(jiǎn)單請(qǐng)求，瀏覽器主要為了快速失敗而做了一次預(yù)檢請(qǐng)求。

非簡(jiǎn)單請(qǐng)求例如我們常用到的Content-Type: application/json; charset=utf-8的POST請(qǐng)求，瀏覽器在發(fā)送CORS請(qǐng)求之前，會(huì)發(fā)送一個(gè)預(yù)檢請(qǐng)求，來(lái)詢問(wèn)服務(wù)器該來(lái)源是否包含在允許跨域列表中：

OPTIONS /cors HTTP/1.1
Origin: http://abc.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: X-Custom-Header
Host: api.alice.com
Accept-Language: en-US
Connection: keep-alive
User-Agent: Mozilla/5.0...

該預(yù)檢請(qǐng)求的請(qǐng)求方法為OPTIONS，同樣攜帶請(qǐng)求頭Origin來(lái)標(biāo)識(shí)來(lái)源；
除了Origin字段，"預(yù)檢"請(qǐng)求的頭信息包括兩個(gè)特殊字段。

1. Access-Control-Request-Method

該字段是必須的，用來(lái)列出瀏覽器的CORS請(qǐng)求會(huì)用到哪些HTTP方法，上例是PUT。

2. Access-Control-Request-Headers

該字段是一個(gè)逗號(hào)分隔的字符串，指定瀏覽器CORS請(qǐng)求會(huì)額外發(fā)送的頭信息字段，上例是X-Custom-Header。

服務(wù)器在收到上述預(yù)檢請(qǐng)求之后，如果允許該跨域請(qǐng)求，則會(huì)發(fā)送一個(gè)成功響應(yīng)，其中包含Access-Control-Allow-Origin頭字段。此處的瀏覽器判斷和簡(jiǎn)單請(qǐng)求一致。

除此之外，服務(wù)器還可能包括Access-Control-Max-Age頭信息，該字段可選，用來(lái)指定本次預(yù)檢請(qǐng)求的有效期，單位為秒。上面結(jié)果中，有效期是20天（1728000秒），即允許緩存該條回應(yīng)1728000秒（即20天），在此期間，不用發(fā)出另一條預(yù)檢請(qǐng)求。

一旦通過(guò)了預(yù)檢，瀏覽器后續(xù)流程也跟簡(jiǎn)單請(qǐng)求一樣，在發(fā)送CORS時(shí)候也會(huì)攜帶Origin字段。

JSOUP跨域

CORS協(xié)議的跨域與JSOUP相比，更為強(qiáng)大，提供更多的參數(shù)來(lái)控制跨域的流程，而且CORS支持所有類型的HTTP請(qǐng)求，但是JSOUP只支持PUT請(qǐng)求。

JSOUP的優(yōu)勢(shì)在于支持更老的瀏覽器和不支持CORS協(xié)議的服務(wù)器來(lái)做跨域資源請(qǐng)求。