现在开发的项目一般都是前后端分离的项目,所以跨域访问会经常使用。
出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个标签中检查您的银行帐户时,您可以将evil.com网站放在另一个标签中。来自evil.com的脚本不能使用您的凭据向您的银行API(从您的帐户中提取资金!)发出AJAX请求。
跨源资源共享(CORS)是大多数浏览器实现的W3C规范,允许您以灵活的方式指定授权的跨域请求类型,而不是使用IFrame或JSONP等安全性较低且功能较弱的黑客。
Spring Framework 4.2 GA为开箱即用的CORS提供了一流的支持,为您提供了比典型的基于过滤器的解决方案更简单,更强大的配置方式。
Spring MVC提供了高级配置工具,如下所述。
您可以在@RequestMapping注释的处理程序方法中添加@CrossOrigin注释,以便在其上启用CORS(默认情况下@CrossOrigin允许@RequestMapping注释中指定的所有源和HTTP方法):
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}也可以为整个控制器启用CORS:
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}在此示例中,为两个retrieve()和remove()处理程序方法启用了CORS支持,您还可以了解如何使用@CrossOrigin属性自定义CORS配置。
您甚至可以使用控制器和方法级别的CORS配置,然后Spring将组合两个注释属性以创建合并的CORS配置。
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin(origins = "http://domain2.com")
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cors().and()...
}
}除了细粒度的基于注释的配置之外,您可能还需要定义一些全局CORS配置。这类似于使用过滤器,但可以使用Spring MVC声明并结合细粒度@CrossOrigin配置。默认情况下GET,允许所有原点HEAD和POST方法。
为整个应用程序启用CORS非常简单:
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
}如果您使用的是Spring Boot,建议您将WebMvcConfigurerbean 声明如下:
@Configuration
public class MyConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
};
}
}您可以轻松更改任何属性,并仅将此CORS配置应用于特定路径模式:
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain2.com")
.allowedMethods("PUT", "DELETE")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge(3600);
}如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。
CORS请求(包括带有OPTIONS方法的预检)会自动发送到各个HandlerMapping已注册的请求。由于CorsProcessor实现(默认情况下为DefaultCorsProcessor),它们处理CORS预检请求并拦截CORS简单和实际请求,以便添加相关的CORS响应头(如Access-Control-Allow-Origin)。CorsConfiguration允许您指定如何处理CORS请求:允许的起源,标题,方法等。它可以以各种方式提供:
AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射在路径模式上的Map几个CorsConfiguration/api/**
子类可以CorsConfiguration通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法提供自己的子类
处理程序可以实现CorsConfigurationSource接口(就像ResourceHttpRequestHandler现在一样),以便为每个请求提供CorsConfiguration。
基于过滤器的CORS支持
作为上述其他方法的替代方案,Spring Framework还提供了CorsFilter。在这种情况下,您可以在Spring Boot应用程序中声明过滤器,而不是使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry):
@Configuration
public class MyConfiguration {
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("http://domain1.com");
config.addAllowedHeader("*");
config.addAllowedMethod("*");
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
}
