@chendushuai
2019-04-08T02:18:26.000000Z
字数 3738
阅读 547
Spring
Spring MVC允许你处理CORS(跨源资源共享)。本章节说明如何进行。
出于安全原因,浏览器禁止对当前源外的资源进行AJAX访问。例如,你可以将你的银行账户放在一个标签中,将evil.com放在另一个标签中,来自evil.com页面上的脚本不应该使用你的凭据向你的银行API发送AJAX请求——例如从你的银行账户提取资金!
跨源资源共享(CORS)是一个大多数浏览器实现的W3C规范,允许你指定授权的跨域请求类型,而不是使用基于IFRAME或者JSONP的安全性较低且性能较弱的变通方法
CORS规范区分了前置请求、简单请求和实际请求。要了解CORS的工作原理,您可以阅读本文以及其他许多文章,或者查看规范了解更多细节。
Spring MVC HandlerMapping实现提供了对CORS的内置支持。成功地将请求映射到处理程序之后,HandlerMapping实现将检查给定请求和处理程序的CORS配置并采取进一步的操作。前置请求直接处理,而简单请求和实际的CORS请求被拦截、验证,并设置了所需的CORS响应头。
为了启用跨源请求(也就是说,源标头是存在的,并且与请求的主机不同),您需要一些显式声明的CORS配置。如果没有找到匹配的CORS配置,前置请求将被拒绝。没有将CORS标头添加到简单请求和实际的CORS请求的响应中,因此浏览器会拒绝它们。
每个HandlerMapping都可以使用基于URL模式的CorsConfiguration映射单独配置。在大多数情况下,应用程序使用MVC Java配置或XML名称空间来声明这样的映射,这将导致一个全局映射被传递给所有HandlerMappping实例。
您可以将HandlerMapping级别的全局CORS配置与更细粒度的处理程序级别CORS配置组合起来。例如,带注释的控制器可以使用类或方法级别的@CrossOrigin注解(其他处理程序可以实现CorsConfigurationSource)。
组合全局和本地配置的规则通常是附加的——例如,所有全局和所有本地源。对于那些只能接受单个值的属性(如allowCredentials和maxAge),本地覆盖全局值。有关详细信息,请参见CorsConfiguration#combine(CorsConfiguration)。
要从源中了解更多信息或进行更多高级自定义,请检查后面的代码
CorsConfigurationCorsProcessor,DefaultCorsProcessorAbstractHandlerMapping
@CrossOrigin能够对带注解的控制器方法进行跨源请求,例如下面的示例:
@RestController@RequestMapping("/account")public class AccountController {@CrossOrigin@GetMapping("/{id}")public Account retrieve(@PathVariable Long id) {// ...}@DeleteMapping("/{id}")public void remove(@PathVariable Long id) {// ...}}
默认情况下,@CrossOrigin允许:
allowedCredentials默认不启用,因为它建立了一个信任级别,用于公开敏感的用户特定信息(例如cookies和CSRF令牌),并且只用在适当的地方。
maxAge设定为30分钟。
@CrossOrigin在类级别也支持使用,并且由类下所有方法集成,请看下面的示例:
@CrossOrigin(origins = "https://domain2.com", maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController {@GetMapping("/{id}")public Account retrieve(@PathVariable Long id) {// ...}@DeleteMapping("/{id}")public void remove(@PathVariable Long id) {// ...}}
你可以同时在类级别和方法级别上使用@CrossOrigin,如下面代码所示:
@CrossOrigin(maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController {@CrossOrigin("https://domain2.com")@GetMapping("/{id}")public Account retrieve(@PathVariable Long id) {// ...}@DeleteMapping("/{id}")public void remove(@PathVariable Long id) {// ...}}
除了细粒度的控制器方法级配置外,您可能还想定义一些全局CORS配置。您可以在任何HandlerMapping上单独设置基于URL的CorsConfiguration映射。但是,大多数应用程序都使用MVC Java配置或MVC XNM命名空间来实现这一点。
默认情况下,全局配置启用以下功能:
GET、HEAD和POST方法。allowedCredentials默认不启用,因为它建立了一个信任级别,用于公开敏感的用户特定信息(例如cookies和CSRF令牌),并且只用在适当的地方。
maxAge设置为30分钟。
在MVC Java配置中启用CORS,你可以使用CorsRegistry回调,如下面示例:
@Configuration@EnableWebMvcpublic class WebConfig implements WebMvcConfigurer {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/api/**").allowedOrigins("https://domain2.com").allowedMethods("PUT", "DELETE").allowedHeaders("header1", "header2", "header3").exposedHeaders("header1", "header2").allowCredentials(true).maxAge(3600);// Add more mappings...}}
在XML中启用CORS,你可以使用<mvc:cors>元素,如下面示例:
<mvc:cors><mvc:mapping path="/api/**"allowed-origins="https://domain1.com, https://domain2.com"allowed-methods="GET, PUT"allowed-headers="header1, header2, header3"exposed-headers="header1, header2" allow-credentials="true"max-age="123" /><mvc:mapping path="/resources/**"allowed-origins="https://domain1.com" /></mvc:cors>
你可以通过内置的CorsFilter请求CORS支持
如果您尝试使用带有Spring Security的
CorsFilter,请记住Spring Security内置了对CORS的支持。
要配置过滤器,请将CorsConfigurationSource传递给它的构造函数,如下面的示例所示:
CorsConfiguration config = new CorsConfiguration();// Possibly...// config.applyPermitDefaultValues()config.setAllowCredentials(true);config.addAllowedOrigin("https://domain1.com");config.addAllowedHeader("*");config.addAllowedMethod("*");UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();source.registerCorsConfiguration("/**", config);CorsFilter filter = new CorsFilter(source);