Spring MVC参考文档 1.6 CORS 跨域请求设置

1.6. CORS

Spring MVC允许你处理CORS（跨源资源共享）。本章节说明如何进行。

1.6.1. 介绍

出于安全原因，浏览器禁止对当前源外的资源进行AJAX访问。例如，你可以将你的银行账户放在一个标签中，将evil.com放在另一个标签中，来自evil.com页面上的脚本不应该使用你的凭据向你的银行API发送AJAX请求——例如从你的银行账户提取资金！

跨源资源共享（CORS）是一个大多数浏览器实现的W3C规范，允许你指定授权的跨域请求类型，而不是使用基于IFRAME或者JSONP的安全性较低且性能较弱的变通方法

1.6.2. 处理

CORS规范区分了前置请求、简单请求和实际请求。要了解CORS的工作原理，您可以阅读本文以及其他许多文章，或者查看规范了解更多细节。

Spring MVC HandlerMapping实现提供了对CORS的内置支持。成功地将请求映射到处理程序之后，HandlerMapping实现将检查给定请求和处理程序的CORS配置并采取进一步的操作。前置请求直接处理，而简单请求和实际的CORS请求被拦截、验证，并设置了所需的CORS响应头。

为了启用跨源请求(也就是说，源标头是存在的，并且与请求的主机不同)，您需要一些显式声明的CORS配置。如果没有找到匹配的CORS配置，前置请求将被拒绝。没有将CORS标头添加到简单请求和实际的CORS请求的响应中，因此浏览器会拒绝它们。

每个HandlerMapping都可以使用基于URL模式的CorsConfiguration映射单独配置。在大多数情况下，应用程序使用MVC Java配置或XML名称空间来声明这样的映射，这将导致一个全局映射被传递给所有HandlerMappping实例。

您可以将HandlerMapping级别的全局CORS配置与更细粒度的处理程序级别CORS配置组合起来。例如，带注释的控制器可以使用类或方法级别的@CrossOrigin注解（其他处理程序可以实现CorsConfigurationSource）。

组合全局和本地配置的规则通常是附加的——例如，所有全局和所有本地源。对于那些只能接受单个值的属性(如allowCredentials和maxAge)，本地覆盖全局值。有关详细信息，请参见CorsConfiguration#combine(CorsConfiguration)。

要从源中了解更多信息或进行更多高级自定义，请检查后面的代码

• CorsConfiguration
• CorsProcessor， DefaultCorsProcessor
• AbstractHandlerMapping

1.6.3. @CrossOrigin

@CrossOrigin能够对带注解的控制器方法进行跨源请求，例如下面的示例：

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

默认情况下，@CrossOrigin允许：

• 所有来源
• 所有头部
• 控制器方法映射到的所有HTTP方法

allowedCredentials默认不启用，因为它建立了一个信任级别，用于公开敏感的用户特定信息（例如cookies和CSRF令牌），并且只用在适当的地方。

maxAge设定为30分钟。

@CrossOrigin在类级别也支持使用，并且由类下所有方法集成，请看下面的示例：

@CrossOrigin(origins = "https://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

你可以同时在类级别和方法级别上使用@CrossOrigin，如下面代码所示：

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin("https://domain2.com")
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

1.6.4. 全局配置

除了细粒度的控制器方法级配置外，您可能还想定义一些全局CORS配置。您可以在任何HandlerMapping上单独设置基于URL的CorsConfiguration映射。但是，大多数应用程序都使用MVC Java配置或MVC XNM命名空间来实现这一点。

默认情况下，全局配置启用以下功能:

• 所有的来源。
• 所有的头部。
• GET、HEAD和POST方法。

allowedCredentials默认不启用，因为它建立了一个信任级别，用于公开敏感的用户特定信息（例如cookies和CSRF令牌），并且只用在适当的地方。

maxAge设置为30分钟。

Java配置

在MVC Java配置中启用CORS，你可以使用CorsRegistry回调，如下面示例：

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
            .allowedOrigins("https://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);

        // Add more mappings...
    }
}

XML 配置

在XML中启用CORS，你可以使用元素，如下面示例：

1.6.5. CORS过滤器

你可以通过内置的CorsFilter请求CORS支持

如果您尝试使用带有Spring Security的CorsFilter，请记住Spring Security内置了对CORS的支持。

要配置过滤器，请将CorsConfigurationSource传递给它的构造函数，如下面的示例所示：

CorsConfiguration config = new CorsConfiguration();

// Possibly...
// config.applyPermitDefaultValues()

config.setAllowCredentials(true);
config.addAllowedOrigin("https://domain1.com");
config.addAllowedHeader("*");
config.addAllowedMethod("*");

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);

CorsFilter filter = new CorsFilter(source);