该文章转至SpringBoot官网 http://spring.io/blog/2015/06/08/cors-support-in-spring-framework
现在开发的项目一般都是前后端分离的项目,所以跨域访问会经常使用。
出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个标签中检查您的银行帐户时,您可以将evil.com网站放在另一个标签中。来自evil.com的脚本不能使用您的凭据向您的银行API(从您的帐户中提取资金!)发出AJAX请求。
跨源资源共享(CORS)是大多数浏览器实现的W3C规范,允许您以灵活的方式指定授权的跨域请求类型,而不是使用IFrame或JSONP等安全性较低且功能较弱的黑客。
Spring Framework 4.2 GA为开箱即用的CORS提供了一流的支持,为您提供了比典型的基于过滤器的解决方案更简单,更强大的配置方式。
Spring MVC提供了高级配置工具,如下所述。
控制器方法CORS配置
您可以在@RequestMapping
注释的处理程序方法中添加@CrossOrigin
注释,以便在其上启用CORS(默认情况下@CrossOrigin
允许@RequestMapping
注释中指定的所有源和HTTP方法):
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
也可以为整个控制器启用CORS:
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
在此示例中,为两个retrieve()
和remove()
处理程序方法启用了CORS支持,您还可以了解如何使用@CrossOrigin
属性自定义CORS配置。
您甚至可以使用控制器和方法级别的CORS配置,然后Spring将组合两个注释属性以创建合并的CORS配置。
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin(origins = "http://domain2.com")
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cors().and()...
}
}
全局CORS配置
除了细粒度的基于注释的配置之外,您可能还需要定义一些全局CORS配置。这类似于使用过滤器,但可以使用Spring MVC声明并结合细粒度@CrossOrigin
配置。默认情况下GET
,允许所有原点HEAD
和POST
方法。
JavaConfig
为整个应用程序启用CORS非常简单:
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
}
如果您使用的是Spring Boot,建议您将WebMvcConfigurer
bean 声明如下:
@Configuration
public class MyConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
};
}
}
您可以轻松更改任何属性,并仅将此CORS配置应用于特定路径模式:
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain2.com")
.allowedMethods("PUT", "DELETE")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge(3600);
}
如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。
XML命名空间
也可以使用mvc XML名称空间配置CORS 。
这种最小的XML配置在/**
路径模式上启用CORS ,其默认属性与JavaConfig相同:
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>
也可以使用自定义属性声明多个CORS映射:
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain1.com" />
</mvc:cors>
如果您使用的是Spring Security,请不要忘记在Spring Security级别启用CORS:
<http>
<!-- Default to Spring MVC's CORS configuration -->
<cors />
...
</http>
它是如何工作的?
CORS请求(包括带有OPTIONS
方法的预检)会自动发送到各个HandlerMapping
已注册的请求。由于CorsProcessor实现(默认情况下为DefaultCorsProcessor),它们处理CORS预检请求并拦截CORS简单和实际请求,以便添加相关的CORS响应头(如Access-Control-Allow-Origin
)。CorsConfiguration允许您指定如何处理CORS请求:允许的起源,标题,方法等。它可以以各种方式提供:
AbstractHandlerMapping#setCorsConfiguration()
允许指定一个映射在路径模式上的Map
几个CorsConfiguration/api/**
- 子类可以
CorsConfiguration
通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)
方法提供自己的子类 - 处理程序可以实现
CorsConfigurationSource
接口(就像ResourceHttpRequestHandler
现在一样),以便为每个请求提供CorsConfiguration。
基于过滤器的CORS支持
作为上述其他方法的替代方案,Spring Framework还提供了CorsFilter。在这种情况下,您可以在Spring Boot应用程序中声明过滤器,而不是使用@CrossOrigin
或WebMvcConfigurer#addCorsMappings(CorsRegistry)
:
@Configuration
public class MyConfiguration {
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("http://domain1.com");
config.addAllowedHeader("*");
config.addAllowedMethod("*");
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
}