springboot 跨域配置cors

时间 2019-11-10

原文原文链接

1 跨域的理解

跨域是指：浏览器A从服务器B获取的静态资源，包括Html、Css、Js，而后在Js中经过Ajax访问C服务器的静态资源或请求。即：浏览器A从B服务器拿的资源，资源中想访问服务器C的资源。前端

同源策略是指：浏览器A从服务器B获取的静态资源，包括Html、Css、Js，为了用户安全，浏览器加了限制，其中的Js经过Ajax只能访问B服务器的静态资源或请求。即：浏览器A从哪拿的资源，那资源中就只能访问哪。java

同源是指：同一个请求协议(如：Http或Https)、同一个Ip、同一个端口，3个所有相同，即为同源。后端

2 跨域的处理

跨域的这种需求仍是有的，所以，W3C组织制定了一个Cross-Origin Resource Sharing规范，简写为Cors，如今这个规范已经被大多数浏览器支持，从而，处理跨域的需求。api

Cors须要在后端应用进行配置，所以，是一种跨域的后端处理方式，这么作也容易理解，一个你不认识的源来访问你的应用，天然须要应用进行受权。除了后端处理方式，也有前端的解决方案，如：JSONP，因这里咱们主要讲解SpringBoot2.x对Cors的配置，暂不对前端解决方案进行详细说明。跨域

3 跨域的分类

跨域分为如下3种数组

名称	英文名	说明
简单请求	Simple Request	发起的Http请求符合： 1.无自定义请求头， 2.请求动词为GET、HEAD或POST之一， 3.动词为POST时，Content-Type是application/x-www-form-urlencoded， multipart/form-data或text/plain之一
预检请求	Preflighted Request	发起的Http请求符合其中之一： 1.包含了自定义请求头， 2.请求动词不是GET、HEAD或POST， 3.动词是POST时， Content-Type不是application/x-www-form-urlencoded， multipart/form-data或text/plain。即：简单请求的相反
凭证请求	Requests with Credential	发起的Http请求中带有凭证

4 SpringBoot2.x配置Cors

@RestController
@RequestMapping(value = "/api/users")
@CrossOrigin
public class UsersController{

    @Autowired
    private UsersService usersService;

    @PostMapping
    @CrossOrigin
    public User create(@RequestBody User user) {
        return userService.save(user);
    }
}

其中，@CrossOrigin注解能够使用如下参数浏览器

名称	类型	范围	必填	请求头字段
value	String数组	类或方法	是	Access-Control-Allow-Origin
origins	String数组	类或方法	是，同value，能够二选一	Access-Control-Allow-Origin
methods	String数组	类或接口	是	Access-Control-Allow-Methods
maxAge	long	类或接口	否	Access-Control-Max-Age
allowCredentials	String	类或接口	否	Access-Control-Allow-Credentials
allowedHeaders	String数组	类或接口	否	Access-Control-Request-Headers
exposedHeaders	String数组	类或接口	否	Access-Control-Expose-Headers

备注说明

value、origins属性：配置容许访问的源，如: http://anxminise.cc，*表示容许所有的域名
methods属性：配置跨域请求支持的方式，如：GET、POST，且一次性返回所有支持的方式
maxAge属性：配置预检请求的有效时间，单位是秒，表示：在多长时间内，不须要发出第二次预检请求
allowCredentials属性：配置是否容许发送Cookie，用于凭证请求，默认不发送cookie
allowedHeaders属性：配置容许的自定义请求头，用于预检请求
exposedHeaders属性：配置响应的头信息，在其中能够设置其余的头信息，不进行配置时，默承认以获取到Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma字段

使用WebMvcConfigurer对象

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/api/**")
                          .allowedOrigins("*")  
                          .allowCredentials(true)
                          .allowedMethods("GET", "POST", "DELETE", "PUT","PATCH")
                          .maxAge(3600);  
            }
        };
    }
}

或者这个方式：安全

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
	@Override
	public void addViewControllers(ViewControllerRegistry registry) {
		registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
	}
}

其中，经过相应的方法实现跨域请求的配置服务器

方法类	方法名称	必填	请求头字段	说明
CorsRegistry	addMapping	是	无, 非Cors属性, 属于SpringBoot配置	配置支持跨域的路径
CorsRegistration	allowedOrigins	是	Access-Control-Allow-Origin	配置容许的源
CorsRegistration	allowedMethods	是	Access-Control-Allow-Methods	配置支持跨域请求的方法, 如：GET、POST，一次性返回
CorsRegistration	maxAge	否	Access-Control-Max-Age	配置预检请求的有效时间
CorsRegistration	allowCredentials	否	Access-Control-Allow-Credentials	配置是否容许发送Cookie, 用于凭证请求
CorsRegistration	allowedHeaders	否	Access-Control-Request-Headers	配置容许的自定义请求头, 用于预检请求
CorsRegistration	exposedHeaders	否	Access-Control-Expose-Headers	配置响应的头信息, 在其中能够设置其余的头信息