說明:Spring MVC和Spring Boot其實用的都是同一套。
CORS介紹請看這里:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS
在WEB項目中,如果我們想支持CORS,一般都要通過過濾器進行實現,可以定義一些基本的規則,但是不方便提供更細粒度的配置,如果你想參考過濾器實現,你可以閱讀下面這篇文章:http://my.oschina.net/huangyong/blog/521891
Spring MVC從4.2版本開始增加了對CORS的支持
在Spring MVC中增加CORS支持非常簡單,可以配置全局的規則,也可以使用@CrossOrigin注解進行細粒度的配置。
使用@CrossOrigin注解
先通過源碼看看該注解支持的屬性:
@Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface CrossOrigin { String[] DEFAULT_ORIGINS = { "*" }; String[] DEFAULT_ALLOWED_HEADERS = { "*" }; boolean DEFAULT_ALLOW_CREDENTIALS = true; long DEFAULT_MAX_AGE = 1800; /** * 同origins屬性一樣 */ @AliasFor("origins") String[] value() default {}; /** * 所有支持域的集合,例如"http://domain1.com"。 * <p>這些值都顯示在請求頭中的Access-Control-Allow-Origin * "*"代表所有域的請求都支持 * <p>如果沒有定義,所有請求的域都支持 * @see #value */ @AliasFor("value") String[] origins() default {}; /** * 允許請求頭重的header,默認都支持 */ String[] allowedHeaders() default {}; /** * 響應頭中允許訪問的header,默認為空 */ String[] exposedHeaders() default {}; /** * 請求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。 * 默認支持RequestMapping中設置的方法 */ RequestMethod[] methods() default {}; /** * 是否允許cookie隨請求發送,使用時必須指定具體的域 */ String allowCredentials() default ""; /** * 預請求的結果的有效期,默認30分鍾 */ long maxAge() default -1; }
如果你對這些屬性的含義不是很明白,建議閱讀下面的文章了解更多:http://fengchj.com/?p=1888
下面舉例在方法和Controller上使用該注解
@CrossOrigin注解的配置:
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController { @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... } }
這里指定當前的AccountController中所有的方法可以處理http://domain2.com域上的請求,
在方法上使用@CrossOrigin注解:
@CrossOrigin(maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController { @CrossOrigin("http://domain2.com") @RequestMapping("/{id}") public Account retrieve(@PathVariable Long id) { // ... } @RequestMapping(method = RequestMethod.DELETE, path = "/{id}") public void remove(@PathVariable Long id) { // ... } }
在這個例子中,AccountController類上也有@CrossOrigin注解,retrieve方法上也有注解,Spring會合並兩個注解的屬性一起使用。
CORS全局配置,除了細粒度基於注解的配置,你可能會想定義一些全局CORS的配置。這類似於使用過濾器,但可以在Spring MVC中聲明,並結合細粒度@CrossOrigin配置。默認情況下所有的域名和GET、HEAD和POST方法都是允許的。
Spring Boot的配置:
如果使用Spring Boot,可以通過這種方式方便的進行配置。看下面例子:
@Configuration @EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**"); } }
可以輕松地更改任何屬性,以及配置適用於特定的路徑模式的CORS:
@Configuration @EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://domain2.com") .allowedMethods("PUT", "DELETE") .allowedHeaders("header1", "header2", "header3") .exposedHeaders("header1", "header2") .allowCredentials(false).maxAge(3600); } }
Spring MVC中基於XML的配置:
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>
這個配置和上面Java方式的第一種作用一樣。
同樣,可以做更復雜的配置:
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**" allowed-origins="http://domain1.com" />
</mvc:cors>
Access-Control-Allow-Origin: *:表示來允許任何站點對該資源進行跨域請求
在Spring MVC下的解決方案:
定義CORSFilter
import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; @Component public class CORSFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept"); chain.doFilter(req, res); } public void init(FilterConfig filterConfig) {} public void destroy() {} }
web.xml:
<filter> <filter-name>cors</filter-name> <filter-class>com.web.filter.CORSFilter</filter-class> </filter> <filter-mapping> <filter-name>cors</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
參考:
http://blog.csdn.net/z69183787/article/details/53102112(以上內容轉自此篇文章)