SpringBoot允许跨域访问

该文章转至SpringBoot官网 http://spring.io/blog/2015/06/08/cors-support-in-spring-framework

现在开发的项目一般都是前后端分离的项目,所以跨域访问会经常使用。

出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个标签中检查您的银行帐户时,您可以将evil.com网站放在另一个标签中。来自evil.com的脚本不能使用您的凭据向您的银行API(从您的帐户中提取资金!)发出AJAX请求。

跨源资源共享(CORS)是大多数浏览器实现的W3C规范,允许您以灵活的方式指定授权的跨域请求类型,而不是使用IFrame或JSONP等安全性较低且功能较弱的黑客。

Spring Framework 4.2 GA为开箱即用的CORS提供了一流的支持,为您提供了比典型的基于过滤器的解决方案更简单,更强大的配置方式。

Spring MVC提供了高级配置工具,如下所述。

控制器方法CORS配置

您可以在@RequestMapping注释的处理程序方法中添加@CrossOrigin注释,以便在其上启用CORS(默认情况下@CrossOrigin允许@RequestMapping注释中指定的所有源和HTTP方法):

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

也可以为整个控制器启用CORS:

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在此示例中,为两个retrieve()remove()处理程序方法启用了CORS支持,您还可以了解如何使用@CrossOrigin属性自定义CORS配置。

您甚至可以使用控制器和方法级别的CORS配置,然后Spring将组合两个注释属性以创建合并的CORS配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin(origins = "http://domain2.com")
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

全局CORS配置

除了细粒度的基于注释的配置之外,您可能还需要定义一些全局CORS配置。这类似于使用过滤器,但可以使用Spring MVC声明并结合细粒度@CrossOrigin配置。默认情况下GET,允许所有原点HEADPOST方法。

JavaConfig

为整个应用程序启用CORS非常简单:

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

如果您使用的是Spring Boot,建议您将WebMvcConfigurerbean 声明如下:

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以轻松更改任何属性,并仅将此CORS配置应用于特定路径模式:

@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/api/**")
        .allowedOrigins("http://domain2.com")
        .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
        .exposedHeaders("header1", "header2")
        .allowCredentials(false).maxAge(3600);
}

如果您使用的是Spring Security,请确保在Spring Security级别启用CORS,以允许它利用Spring MVC级别定义的配置。

XML命名空间

也可以使用mvc XML名称空间配置CORS 。

这种最小的XML配置在/**路径模式上启用CORS ,其默认属性与JavaConfig相同:


    

也可以使用自定义属性声明多个CORS映射:



    

    


如果您使用的是Spring Security,请不要忘记在Spring Security级别启用CORS:


    
    
    ...

它是如何工作的?

CORS请求(包括带有OPTIONS方法的预检)会自动发送到各个HandlerMapping已注册的请求。由于CorsProcessor实现(默认情况下为DefaultCorsProcessor),它们处理CORS预检请求并拦截CORS简单和实际请求,以便添加相关的CORS响应头(如Access-Control-Allow-Origin)。CorsConfiguration允许您指定如何处理CORS请求:允许的起源,标题,方法等。它可以以各种方式提供:

  • AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射在路径模式上的Map几个CorsConfiguration/api/**
  • 子类可以CorsConfiguration通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法提供自己的子类
  • 处理程序可以实现CorsConfigurationSource接口(就像ResourceHttpRequestHandler现在一样),以便为每个请求提供CorsConfiguration。

基于过滤器的CORS支持

作为上述其他方法的替代方案,Spring Framework还提供了CorsFilter。在这种情况下,您可以在Spring Boot应用程序中声明过滤器,而不是使用@CrossOriginWebMvcConfigurer#addCorsMappings(CorsRegistry)

@Configuration
public class MyConfiguration {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://domain1.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

你可能感兴趣的:(SpringBoot允许跨域访问)