CORS实现详解：Java Web中Servlet与JSP的跨域配置技巧

# 1. CORS（跨源资源共享）基础概念解析

在现代Web开发中，CORS（Cross-Origin Resource Sharing，跨源资源共享）是一个至关重要的概念。它允许Web应用从不同的源（域名、协议或端口）加载资源，从而提高了网络应用的灵活性。简单来说，CORS通过设置HTTP响应头，控制浏览器的跨域行为，使得原本因浏览器安全策略（同源策略）而受限的跨源请求可以被允许。

为了更好地理解CORS的作用，我们需要先掌握同源策略的基础知识。同源策略是浏览器的一个安全机制，它限制了不同源之间的文档或脚本如何进行交互。当一个源尝试访问另一个源的资源时，浏览器会检查源之间的协议、域名和端口是否一致，如果不一致，则该请求会被浏览器阻止。

CORS为同源策略提供了一种灵活的机制，通过在服务器响应中添加特定的HTTP头，指示浏览器哪些源的跨源请求是被允许的。这样，开发者能够控制哪些第三方网站可以读取服务端资源，同时保护敏感数据不被未授权的网站访问。在接下来的章节中，我们将深入探讨如何在Servlet和JSP中配置和实践CORS，以及如何解决相关的疑难杂症，并了解CORS如何与现代Web技术融合应用。

# 2. Servlet中的CORS配置与实践

## 2.1 CORS的响应头设置

### 2.1.1 Access-Control-Allow-Origin响应头的使用与限制

当Web应用需要与不同的域名进行交互时，`Access-Control-Allow-Origin`是一个关键的响应头，用于控制哪些外部域可以访问当前资源。此响应头的值可以是`*`（表示接受任何域的请求）或者是一个具体的域名。

然而，并非所有的浏览器和浏览器版本都允许`*`值，特别是当响应体包含敏感数据时（例如使用了`Authorization`请求头）。出于安全考虑，建议明确指定允许访问的域，避免将CORS开放给所有来源，以防止潜在的跨站请求伪造（CSRF）攻击。

示例配置如下：

response.setHeader("Access-Control-Allow-Origin", "http://example.com");

在Servlet中配置该响应头，可以使用`doFilter`方法来设置。比如：

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) res;
    response.setHeader("Access-Control-Allow-Origin", "http://example.com");
    chain.doFilter(req, res);
}

### 2.1.2 Access-Control-Allow-Methods与Access-Control-Allow-Headers的作用

当服务器收到预检请求时，`Access-Control-Allow-Methods`响应头用于指示实际请求所允许使用的HTTP方法。例如，如果前端尝试通过POST方法进行请求，而服务器端只允许GET方法，则请求将被拒绝。

该响应头的值是一个逗号分隔的列表，指示允许的HTTP方法：

response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");

`Access-Control-Allow-Headers`响应头则用于指定实际请求中允许携带的HTTP头字段。如果实际请求中携带了服务器未指定的头字段，则请求会被预检请求所拒绝。

比如，当需要添加自定义头字段时：

response.setHeader("Access-Control-Allow-Headers", "X-My-Custom-Header, X-Another-Custom-Header");

在Servlet中，配置这些响应头可以使用类似的`doFilter`方法来实现：

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
    HttpServletResponse response = (HttpServletResponse) res;
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");
    response.setHeader("Access-Control-Allow-Headers", "X-My-Custom-Header, X-Another-Custom-Header");
    chain.doFilter(req, res);
}

## 2.2 Servlet过滤器在CORS中的应用

### 2.2.1 创建自定义过滤器处理跨域请求

创建一个自定义的过滤器可以集中处理跨域请求的逻辑。通过继承`javax.servlet.Filter`接口，并重写`doFilter`方法，可以插入自定义的CORS逻辑到请求/响应流程中。

public class CrossOriginFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
        throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        String origin = request.getHeader("Origin");
        if (origin != null && allowedOrigin(origin)) {
            response.setHeader("Access-Control-Allow-Origin", origin);
        }
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization, X-My-Custom-Header");

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void destroy() {}
    private boolean allowedOrigin(String origin) {
        // Implement logic to check if this origin is allowed
        return true;
    }
}

在web.xml中注册过滤器：

<filter>
    <filter-name>CrossOriginFilter</filter-name>
    <filter-class>com.example.CrossOriginFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CrossOriginFilter</filter-name>
    <url-pattern>/*</url-patt