我是网络开发方面的菜鸟,在网络上苦苦挣扎之后,我找到了解决方案。我分享它是因为我觉得它没有很好的文档记录并且可以被其他人使用,并且因为我需要一些反馈。
我想为特定域提供对 API 的访问权限。
首先,我尝试设置请求的标头,但由于两个原因它根本不起作用。
第一个原因是我不允许在 crossdomain.xml 中使用它:
<cross-domain-policy xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://www.adobe.com/xml/schemas/PolicyFile.xsd">
<allow-http-request-headers-from domain="domain1WithoutSlashAtTheEnd" headers="*"/>
<allow-http-request-headers-from domain="domain2WithoutSlashAtTheEnd" headers="*"/>
</cross-domain-policy>
第二个原因是我试图设置“access-control-allow-origin”标头,而它没用。任何像这样的自定义标题都会被忽略。实际上,服务器不需要任何那种东西,他的默认行为允许我获取调用的来源(域),我可以在过滤器中处理它,如下所示:
String origin = hsRequest.getHeader("Origin");
if (allowedDomainList.contains(origin)) {
hsResponse.setHeader("Access-Control-Allow-Origin", origin);
} else {
throw new SomeException("domain not allowed");
}
其中“allowedDomainList”是一个字符串列表,我在其中提供了我允许访问我的 API 的所有域。它似乎工作正常。你怎么看待这件事?您能否更具体地了解:
headers="*"
也许只说“访问控制允许来源”。然后我看到有一个“安全”属性,我不知道如何处理它。
我已经拥有的代码也有问题:
<!DOCTYPE cross-domain-policy
SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
<allow-access-from domain="*" />
</cross-domain-policy>
我想知道它如何干扰我的政策行为。似乎它没有影响,但我对 crossdomain.xml 非常不清楚。
最后一点是关于 jQuery (http://api.jquery.com/jQuery.ajax/)。如果我们无法在服务器端获取标头,为什么 jQuery 有设置标头的功能?另外,它有两种“给予”标题的方式:使用“beforeSend”和“headers”。这两点对我来说没有意义,正如你在上面看到的,这让我最终白白浪费了很多时间!
提前感谢您的回复!