碰到的一个跨域问题：自定义header，接口请求不通

在和后台人员关于接口token的设置，我放在请求header中

结果，放到线上，请求报错：

Access to XMLHttpRequest at 'https:///Login/login' from origin '' has been blocked by CORS policy: Request header field x-token is not allowed by Access-Control-Allow-Headers in preflight response

一直以为是跨域的，后台能改的都改了。结果查资料才知道，是请求header中设置的x-token,在返回header中没有，将response的header里加上x-token就可以了。

浪费了好长时间，心好累

cesium加载所有外部资源都需要服务器端允许跨域；解决方法在服务器端；

1若服务端可控：添加跨域头

2若服务器端不可控：添加代理服务器

nginx添加代理示例：

location /3dtiles{

include nginx_cors;

proxy_set_header Host $host:$server_port;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_pass http://61181250183;

}

1、CORS的原理：CORS定义一种跨域访问的机制，可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单，只需由服务器发送一个响应标头即可。

2、tomcat如何配置cors的跨域请求： 

在tomcat中，有一个和cors相关的拦截器：CORS Filter

该过滤器可以通过添加必需的访问控制请求头Access-Control-对象来进行跨域。同时还可以对一些请求进行拦截。如果请求是无效的，或者是不被允许的，该请求被拒绝或者禁止。 

其在webxml文件中的基本配置如下：

        <filter-name>CorsFilter</filter-name>

        <filter-class>orgapachecatalinafiltersCorsFilter</filter-class>

        <init-param>

            <param-name>corsallowedorigins</param-name>

            <param-value>

                http://localhost:8080,

                https://localhost:8443

            </param-value>

        </init-param>

        <init-param>

            <param-name>corsallowedmethods</param-name>

            <param-value>

                GET,POST,HEAD,OPTIONS,PUT

            </param-value>

        </init-param>

        <init-param>

            <param-name>corsallowedheaders</param-name>

            <param-value>

                Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin

            </param-value>

        </init-param>

        <init-param>

            <param-name>corsexposedheaders</param-name>

            <param-value>

                Access-Control-Allow-Origin,Access-Control-Allow-Credentials

            </param-value>

        </init-param>

        <init-param>

            <param-name>corssupportcredentials</param-name>

            <param-value>true</param-value>

        </init-param>

        <init-param>

            <param-name>corspreflightmaxage</param-name>

            <param-value>10</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CorsFilter</filter-name>

        <url-pattern>/wxrefund/</url-pattern>

    </filter-mapping>

3、corsallowedorigins：允许访问资源的源列表。表示任何来源都可以访问该资源。否则，只有配置的白名单的来源可以访问该资源，其中白名单用逗号隔开，如http://localhost:8080,https://localhost:8443。

4、corsallowedmethods：允许访问的http请求方法，如GET,POST,HEAD,OPTIONS,PUT等，方法名用逗号隔开。

5、corsallowedheaders：在实际请求时可使用的请求头列表，用逗号隔开。如Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Access-Control-Allow-Origin。这些头也将返回作为访问控制的一部分。