Spring MVC 4.2 增加 CORS 支持

本文涉及的产品
.cn 域名,1个 12个月
简介: 转自:http://blog.csdn.net/z69183787/article/details/53102112Spring MVC 4.2 增加 CORS 支持跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。

转自:http://blog.csdn.net/z69183787/article/details/53102112

Spring MVC 4.2 增加 CORS 支持

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。

正如大家所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

更多CORS介绍请看这里:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS

在WEB项目中,如果我们想支持CORS,一般都要通过过滤器进行实现,可以定义一些基本的规则,但是不方便提供更细粒度的配置,如果你想参考过滤器实现,你可以阅读下面这篇文章:

http://my.oschina.net/huangyong/blog/521891

Spring MVC 从4.2版本开始增加了对CORS的支持

spring MVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。

使用@CrossOrigin注解

先通过源码看看该注解支持的属性:

 

[java] view plain copy
 
  1. @Target({ ElementType.METHOD, ElementType.TYPE })  
  2. @Retention(RetentionPolicy.RUNTIME)  
  3. @Documented  
  4. public @interface CrossOrigin {  
  5.   
  6.     String[] DEFAULT_ORIGINS = { "*" };  
  7.   
  8.     String[] DEFAULT_ALLOWED_HEADERS = { "*" };  
  9.   
  10.     boolean DEFAULT_ALLOW_CREDENTIALS = true;  
  11.   
  12.     long DEFAULT_MAX_AGE = 1800;  
  13.   
  14.   
  15.     /** 
  16.      * 同origins属性一样 
  17.      */  
  18.     @AliasFor("origins")  
  19.     String[] value() default {};  
  20.   
  21.     /** 
  22.      * 所有支持域的集合,例如"http://domain1.com"。 
  23.      * <p>这些值都显示在请求头中的Access-Control-Allow-Origin 
  24.      * "*"代表所有域的请求都支持 
  25.      * <p>如果没有定义,所有请求的域都支持 
  26.      * @see #value 
  27.      */  
  28.     @AliasFor("value")  
  29.     String[] origins() default {};  
  30.   
  31.     /** 
  32.      * 允许请求头重的header,默认都支持 
  33.      */  
  34.     String[] allowedHeaders() default {};  
  35.   
  36.     /** 
  37.      * 响应头中允许访问的header,默认为空 
  38.      */  
  39.     String[] exposedHeaders() default {};  
  40.   
  41.     /** 
  42.      * 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。 
  43.      * 默认支持RequestMapping中设置的方法 
  44.      */  
  45.     RequestMethod[] methods() default {};  
  46.   
  47.     /** 
  48.      * 是否允许cookie随请求发送,使用时必须指定具体的域 
  49.      */  
  50.     String allowCredentials() default "";  
  51.   
  52.     /** 
  53.      * 预请求的结果的有效期,默认30分钟 
  54.      */  
  55.     long maxAge() default -1;  
  56.   
  57. }  

 

 

如果你对这些属性的含义不是很明白,建议阅读下面的文章了解更多:

http://fengchj.com/?p=1888

下面举例在方法和Controller上使用该注解。

在Controller上使用@CrossOrigin注解

[java] view plain copy
 
  1. @CrossOrigin(origins = "http://domain2.com", maxAge = 3600)  
  2. @RestController  
  3. @RequestMapping("/account")  
  4. public class AccountController {  
  5.   
  6.     @RequestMapping("/{id}")  
  7.     public Account retrieve(@PathVariable Long id) {  
  8.         // ...  
  9.     }  
  10.   
  11.     @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")  
  12.     public void remove(@PathVariable Long id) {  
  13.         // ...  
  14.     }  
  15. }  

这里指定当前的AccountController中所有的方法可以处理http://domain2.com域上的请求,

在方法上使用@CrossOrigin注解

[java] view plain copy
 
  1. @CrossOrigin(maxAge = 3600)  
  2. @RestController  
  3. @RequestMapping("/account")  
  4. public class AccountController {  
  5.   
  6.     @CrossOrigin("http://domain2.com")  
  7.     @RequestMapping("/{id}")  
  8.     public Account retrieve(@PathVariable Long id) {  
  9.         // ...  
  10.     }  
  11.   
  12.     @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")  
  13.     public void remove(@PathVariable Long id) {  
  14.         // ...  
  15.     }  
  16. }  

在这个例子中,AccountController类上也有@CrossOrigin注解,retrieve方法上也有注解,Spring会合并两个注解的属性一起使用。

CORS全局配置

除了细粒度基于注解的配置,你可能会想定义一些全局CORS的配置。这类似于使用过滤器,但可以在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

基于JAVA的配置

看下面例子:

 

[java] view plain copy
 
  1. @Configuration  
  2. @EnableWebMvc  
  3. public class WebConfig extends WebMvcConfigurerAdapter {  
  4.   
  5.     @Override  
  6.     public void addCorsMappings(CorsRegistry registry) {  
  7.         registry.addMapping("/**");  
  8.     }  
  9. }  



 

您可以轻松地更改任何属性,以及配置适用于特定的路径模式的CORS:

 

[java] view plain copy
 
  1. @Configuration  
  2. @EnableWebMvc  
  3. public class WebConfig extends WebMvcConfigurerAdapter {  
  4.   
  5.     @Override  
  6.     public void addCorsMappings(CorsRegistry registry) {  
  7.         registry.addMapping("/api/**")  
  8.             .allowedOrigins("http://domain2.com")  
  9.             .allowedMethods("PUT", "DELETE")  
  10.             .allowedHeaders("header1", "header2", "header3")  
  11.             .exposedHeaders("header1", "header2")  
  12.             .allowCredentials(false).maxAge(3600);  
  13.     }  
  14. }  



 

如果你使用Spring Boot,你可以通过这种方式方便的进行配置。

基于XML的配置

[java] view plain copy
 
  1. <mvc:cors>  
  2.     <mvc:mapping path="/**" />  
  3. </mvc:cors>  

这个配置和上面Java方式的第一种作用一样。

同样,你可以做更复杂的配置:

 

[java] view plain copy
 
  1. <mvc:cors>  
  2.   
  3.     <mvc:mapping path="/api/**"  
  4.         allowed-origins="http://domain1.com, http://domain2.com"  
  5.         allowed-methods="GET, PUT"  
  6.         allowed-headers="header1, header2, header3"  
  7.         exposed-headers="header1, header2" allow-credentials="false"  
  8.         max-age="123" />  
  9.   
  10.     <mvc:mapping path="/resources/**"  
  11.         allowed-origins="http://domain1.com" />  
  12.   
  13. </mvc:cors>  

 

 

Access-Control-Allow-Origin: *

来允许任何站点对该资源进行跨域请求

在SpringMVC下的解决方案:

定义CORSFilter

[java] view plain copy
 
  1. import java.io.IOException;  
  2. import javax.servlet.Filter;  
  3. import javax.servlet.FilterChain;  
  4. import javax.servlet.FilterConfig;  
  5. import javax.servlet.ServletException;  
  6. import javax.servlet.ServletRequest;  
  7. import javax.servlet.ServletResponse;  
  8. import javax.servlet.http.HttpServletResponse;  
  9. import org.springframework.stereotype.Component;  
  10. @Component  
  11. public class CORSFilter implements Filter {  
  12.   public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
  13.     HttpServletResponse response = (HttpServletResponse) res;  
  14.     response.setHeader("Access-Control-Allow-Origin", "*");  
  15.     response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");  
  16.     response.setHeader("Access-Control-Max-Age", "3600");  
  17.     response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");  
  18.     chain.doFilter(req, res);  
  19.   }  
  20.   public void init(FilterConfig filterConfig) {}  
  21.   public void destroy() {}  
  22. }  

 

web.xml:

 

[html] view plain copy
 
    1. <filter>  
    2.   <filter-name>cors</filter-name>  
    3.   <filter-class>com.web.filter.CORSFilter</filter-class>  
    4. </filter>  
    5. <filter-mapping>  
    6.   <filter-name>cors</filter-name>  
    7.   <url-pattern>/*</url-pattern>  
    8. </filter-mapping>  
目录
相关文章
|
26天前
|
JSON 前端开发 Java
SSM:SpringMVC
本文介绍了SpringMVC的依赖配置、请求参数处理、注解开发、JSON处理、拦截器、文件上传下载以及相关注意事项。首先,需要在`pom.xml`中添加必要的依赖,包括Servlet、JSTL、Spring Web MVC等。接着,在`web.xml`中配置DispatcherServlet,并设置Spring MVC的相关配置,如组件扫描、默认Servlet处理器等。然后,通过`@RequestMapping`等注解处理请求参数,使用`@ResponseBody`返回JSON数据。此外,还介绍了如何创建和配置拦截器、文件上传下载的功能,并强调了JSP文件的放置位置,避免404错误。
|
1月前
|
前端开发 Java 应用服务中间件
【Spring】Spring MVC的项目准备和连接建立
【Spring】Spring MVC的项目准备和连接建立
52 2
|
2月前
|
缓存 前端开发 Java
【Java面试题汇总】Spring,SpringBoot,SpringMVC,Mybatis,JavaWeb篇(2023版)
Soring Boot的起步依赖、启动流程、自动装配、常用的注解、Spring MVC的执行流程、对MVC的理解、RestFull风格、为什么service层要写接口、MyBatis的缓存机制、$和#有什么区别、resultType和resultMap区别、cookie和session的区别是什么?session的工作原理
【Java面试题汇总】Spring,SpringBoot,SpringMVC,Mybatis,JavaWeb篇(2023版)
|
1月前
|
XML 前端开发 Java
Spring,SpringBoot和SpringMVC的关系以及区别 —— 超准确,可当面试题!!!也可供零基础学习
本文阐述了Spring、Spring Boot和Spring MVC的关系与区别,指出Spring是一个轻量级、一站式、模块化的应用程序开发框架,Spring MVC是Spring的一个子框架,专注于Web应用和网络接口开发,而Spring Boot则是对Spring的封装,用于简化Spring应用的开发。
90 0
Spring,SpringBoot和SpringMVC的关系以及区别 —— 超准确,可当面试题!!!也可供零基础学习
|
2月前
|
XML 缓存 前端开发
springMVC02,restful风格,请求转发和重定向
文章介绍了RESTful风格的基本概念和特点,并展示了如何使用SpringMVC实现RESTful风格的请求处理。同时,文章还讨论了SpringMVC中的请求转发和重定向的实现方式,并通过具体代码示例进行了说明。
springMVC02,restful风格,请求转发和重定向
|
3月前
|
Java 数据库连接 Spring
后端框架入门超详细 三部曲 Spring 、SpringMVC、Mybatis、SSM框架整合案例 【爆肝整理五万字】
文章是关于Spring、SpringMVC、Mybatis三个后端框架的超详细入门教程,包括基础知识讲解、代码案例及SSM框架整合的实战应用,旨在帮助读者全面理解并掌握这些框架的使用。
后端框架入门超详细 三部曲 Spring 、SpringMVC、Mybatis、SSM框架整合案例 【爆肝整理五万字】
|
3月前
|
XML JSON 数据库
SpringMVC入门到实战------七、RESTful的详细介绍和使用 具体代码案例分析(一)
这篇文章详细介绍了RESTful的概念、实现方式,以及如何在SpringMVC中使用HiddenHttpMethodFilter来处理PUT和DELETE请求,并通过具体代码案例分析了RESTful的使用。
SpringMVC入门到实战------七、RESTful的详细介绍和使用 具体代码案例分析(一)
|
3月前
|
前端开发 应用服务中间件 数据库
SpringMVC入门到实战------八、RESTful案例。SpringMVC+thymeleaf+BootStrap+RestFul实现员工信息的增删改查
这篇文章通过一个具体的项目案例,详细讲解了如何使用SpringMVC、Thymeleaf、Bootstrap以及RESTful风格接口来实现员工信息的增删改查功能。文章提供了项目结构、配置文件、控制器、数据访问对象、实体类和前端页面的完整源码,并展示了实现效果的截图。项目的目的是锻炼使用RESTful风格的接口开发,虽然数据是假数据并未连接数据库,但提供了一个很好的实践机会。文章最后强调了这一章节主要是为了练习RESTful,其他方面暂不考虑。
SpringMVC入门到实战------八、RESTful案例。SpringMVC+thymeleaf+BootStrap+RestFul实现员工信息的增删改查
|
3月前
|
JSON 前端开发 Java
Spring MVC返回JSON数据
综上所述,Spring MVC提供了灵活、强大的方式来支持返回JSON数据,从直接使用 `@ResponseBody`及 `@RestController`注解,到通过配置消息转换器和异常处理器,开发人员可以根据具体需求选择合适的实现方式。
155 4
|
3月前
|
前端开发 Java Spring
Java 新手入门:Spring Boot 轻松整合 Spring 和 Spring MVC!
Java 新手入门:Spring Boot 轻松整合 Spring 和 Spring MVC!
57 0