原文地址:http://docs.spring.io/spring/docs/5.0.0.RC2/spring-framework-reference/web.html#mvc-introduction

一、简介

出于安全原因,浏览器禁止Ajax调用与当前资源不同源的外部资源。例如:如果你正在一个窗口检查你的银行账户,那你可能会遇到这样的错误:com网站在另一个窗口打开。这是一个错误的脚本。因为com不应该让Ajax使用你的凭证请求到你的银行API(例如:从你的银行账户提现)。

Cross-origin resource sharing(CORS) 是一个大多数浏览器对W3C规范的实现,它允许你灵活的对具体的跨域请求进行授权,而不是使用一些不太安全或者不太稳固的手段,例如:IFRAME 和 JSONP。

从Spring Framework4.2以来,CORS支持开箱即用。CORS请求(包括一个带有OPTIONS预检的方法)被动态的分发到各种已经注册的HandlerMappings。他们处理CORS的预检请求,拦截简单的和精确的CORS请求。这一切都归功于CorsProcessor实现(默认为DefaultCorsProcessor)了根据您提供的CORS配置去添加相关的CORS响应头(如Access-Control-Allow-Origin)。

备注:由于CORS请求被动态分发,所以,你不必去改变DispatcherServlet、dispatchOptionsRequest的初始化参数。推荐使用默认的参数值(false)。

二、在Controller方法中配置CORS

你可以添加一个@CrossORigin注解到你的@RequestMapping注解上,去为一个方法添加CORS授权。通过默认的@CorssOrigin注解,它允许所有的同源和基于HTTP协议的调用:

@RestController

@RequestMapping("/account")

public class AccountController {

        @CrossOrigin

        @RequestMapping("/{id}")

        public Account retrieve(@PathVariable Long id) {

                // ...

        }

        @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

        public void remove(@PathVariable Long id) {

                // ...

        }

}

它也可以为整个Controller开启CORS授权:

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)

@RestController

@RequestMapping("/account")

public class AccountController {

        @RequestMapping("/{id}")

        public Account retrieve(@PathVariable Long id) {

                // ...

        }

        @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

        public void remove(@PathVariable Long id) {

                // ...

        }

}

在上面的CORS授权实例中,都是通过操作retrieve()和remove()方法。你还可以通过使用@CrossOrigin属性去定制CORS。

你甚至可以同时使用基于Controller和基于method方法的CORS配置。Spring将合成它们各自的属性去创建一个完整的CORS配置:

@CrossOrigin(maxAge = 3600)

@RestController

@RequestMapping("/account")

public class AccountController {

        @CrossOrigin("http://domain2.com")

        @RequestMapping("/{id}")

        public Account retrieve(@PathVariable Long id) {

                // ...

        }

        @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

        public void remove(@PathVariable Long id) {

                // ...

        }

}

三、全局的CORS配置

除了基于注解的细粒度的配置,你可能还需要定义一些全局的CORS配置。这有点类似于filter,可以使用SpringMVC的声明去做,并且组合细粒度的@CrossORigin配置。默认同源,和GET、HEAD、POST方法被允许CORS调用

1,JavaConfig

简单为整个application应用CORS:

@Configuration

@EnableWebMvc

public class WebConfig implements WebMvcConfigurer {

        @Override

        public void addCorsMappings(CorsRegistry registry) {

                registry.addMapping("/**");

        }

}

你也可以很容易的修改任何属性,以及将此CORS配置到任意路径的模式:

@Configuration

@EnableWebMvc

public class WebConfig implements WebMvcConfigurer {

        @Override

        public void addCorsMappings(CorsRegistry registry) {

                registry.addMapping("/api/**")

                        .allowedOrigins("http://domain2.com")

                        .allowedMethods("PUT", "DELETE")

                        .allowedHeaders("header1", "header2", "header3")

                        .exposedHeaders("header1", "header2")

                        .allowCredentials(false).maxAge(3600);

        }

}

2,XML 命名空间

下面极简单的XML配置将为所有的/**路径请求模式开启CORS授权(同样默认的属性配置,同上面提到的JavaConfig实例):

<mvc:cors>

        <mvc:mapping path="/**" />

</mvc:cors>

也可以通过定制属性去声明几个CORS授权配置:

<mvc:cors>

        <mvc:mapping path="/api/**"

                allowed-origins="http://domain1.com, http://domain2.com"

                allowed-methods="GET, PUT"

                allowed-headers="header1, header2, header3"

                exposed-headers="header1, header2" allow-credentials="false"

                max-age="123" />

        <mvc:mapping path="/resources/**"

                allowed-origins="http://domain1.com" />

</mvc:cors>

四、高级定制

CorsConfiguration允许你指定CORS请求被处理的方式:允许同源、headers、methods等。它可以由几种不同的方式配置:

1,AbstractHandlerMapping#setCorsConfiguration()允许指定映射路径模式(如/ api / **)的几个CorsConfiguration实例的Map。

2,子类可以通过覆盖AbstractHandlerMapping#getCorsConfiguration(Object,HttpServletRequest)方法来提供自己的CorsConfiguration。

3,处理程序可以实现CorsConfigurationSource接口(像ResourceHttpRequestHandler现在这样做),以便为每个请求提供一个CorsConfiguration实例

五、基于Filter的CORS支持

为了支持基于过滤器安全框架(如Spring Security)的CORS,或者与其他不支持本地CORS的库一起支持CORS,Spring Framework还提供了一个CorsFilter。代替使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry),您需要注册一个自定义过滤器,定义如下:

import org.springframework.web.cors.CorsConfiguration;

import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import org.springframework.web.filter.CorsFilter;

public class MyCorsFilter extends CorsFilter {

        public MyCorsFilter() {

                super(configurationSource());

        }

        private static UrlBasedCorsConfigurationSource configurationSource() {

                CorsConfiguration config = new CorsConfiguration();

                config.setAllowCredentials(true);

                config.addAllowedOrigin("http://domain1.com");

                config.addAllowedHeader("*");

                config.addAllowedMethod("*");

                UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

                source.registerCorsConfiguration("/**", config);

                return source;

        }

}

你需要确保CorsFilter在其他filter之前执行。

SpringMVC对于跨域访问的支持的更多相关文章

  1. jquery + node 通过 CORS 实现跨域访问,支持cookie和自定义header

    跨域有多种方式,现在的情况看来还是CORS更适合一些,有很多优点,比如浏览器正式支持.支持post.可以控制跨域访问的网站等. 我们来看看node如何实现cors方式的跨域.在网上找到了一些代码,考过 ...

  2. nginx实现跨域访问并支持(GET, POST,PUT,DELETE, OPTIONS)

    最近有同事提出在使用客户端跨域访问的时候,发现服务器对option请求返回了403,后来查看了网络添加了一段配置,发现option服务返回204了,但是后续的put操作也直接返回了204导致无法使用图 ...

  3. SpringMVC 允许跨域访问 也可以选择限制指定IP 允许访问 对象的数据传输

    java ajax

  4. Spring Boot 2中对于CORS跨域访问的快速支持

    原文:https://www.jianshu.com/p/840b4f83c3b5 目前的程序开发,大部分都采用前后台分离.这样一来,就都会碰到跨域资源共享CORS的问题.Spring Boot 2 ...

  5. Angular2中对ASP.NET MVC跨域访问

    应用场景 项目开发决定使用angular2进行前后端分离开发,由我负责后端服务的开发,起初选择的是web api进行开发.对跨域访问通过API中间件+过滤器对跨域访问进行支持.开发一段后,通知需要移植 ...

  6. 【转】silverlight 跨域访问

    作者:MIDI  来源:博客园  发布时间:2010-01-01 17:39  阅读:204 次  原文链接   [收藏]    在 Silverlight 使用 WebService .WCF.We ...

  7. 详解SpringBoot应用跨域访问解决方案

    一.什么是跨域访问 说到跨域访问,必须先解释一个名词:同源策略.所谓同源策略就是在浏览器端出于安全考量,向服务端发起请求必须满足:协议相同.Host(ip)相同.端口相同的条件,否则访问将被禁止,该访 ...

  8. SpringMvc支持跨域访问,Spring跨域访问,SpringMvc @CrossOrigin 跨域

    SpringMvc支持跨域访问,Spring跨域访问,SpringMvc @CrossOrigin 跨域 >>>>>>>>>>>> ...

  9. SpringMvc支持跨域访问,Spring跨域访问,SpringMvc @CrossOrigin 跨域[转]

    SpringMvc支持跨域访问,Spring跨域访问,SpringMvc @CrossOrigin 跨域 原文地址:https://www.cnblogs.com/fanshuyao/p/716847 ...

随机推荐

  1. 【虚拟机-可用性集】ARM 中可用性集使用的注意事项

    Azure 目前有两种部署模型:经典部署模型 (ASM) 和资源管理器 (ARM).如果您之前使用过 ASM 模式下的可用性集,那么很可能在使用 ARM 模式下的可用性集时,会遇到一些问题或者疑惑.这 ...

  2. 排序算法C语言实现

    大学有一门课程叫做数据结构,严蔚敏的课本,其中详细介绍了集中经典的排序算法,学习复习反复几次,但是直到现在仍然只记得名字了,所以想记录下来,随时复习直至牢记于心.经常面试的朋友知道,排序算法在面试中出 ...

  3. selenium3+webdriver学习笔记1(访问常用请求)

    #!/usr/bin/env python# -*- coding:utf-8 -*- from selenium import webdriverimport osimport time url1= ...

  4. JPA + EclipseLink + SAP云平台 = 运行在云端的数据库应用

    JPA(Java Persistence API)的实现Provider有Hibernate,OpenJPA和EclipseLink等等. 本文介绍如何通过JPA + Eclipse连接SAP云平台上 ...

  5. MVC的验证码

    后台: /// <summary> /// 创建验证码的图片 /// </summary> /// <param name="validateCode" ...

  6. UVA 12905 Volume of Revolution (几何,微积分)

    题意:分段用椎台面积近似计算体积,然后计算出近似值和真实值的相对误差 微积分加数学. 平头椎台的体积计算公式: V = 1/3*h*(S1+S2*sqrt(S1*S2) 一个更快的计算多项式值的方法: ...

  7. 使用EventLog组件保存Windows系统日志

    实现效果: 知识运用: EventLog类的CreateEventSource方法 //用于建立一个应用程序  使用指定的Sourc作为向本机上的日志中写入日志项的有效事件源 CreateEventS ...

  8. inner join 和 left join 的区别

    1.left join.right join.inner join的区别 left join(左联接) 返回包括左表中的所有记录和右表中联结字段相等的记录 right join(右联接) 返回包括右表 ...

  9. C/C++基础知识:函数指针和指针函数的基本概念

    [函数指针] 在程序运行中,函数代码是程序的算法指令部分,它们和数组一样也占用存储空间,都有相应的地址.可以使用指针变量指向数组的首地址,也可以使用指针变量指向函数代码的首地址,指向函数代码首地址的指 ...

  10. c++基本配置属性页

    怎么调试一个项目. 需要配置好环境. 在一个release版本的环境中,调试要用release-debug版本,一般不用debug版本. 配置类型一般不变.