【spring】跨域支持

时间  2019-11-10
标签 spring 支持 栏目 Spring 繁體版
原文   原文链接

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不一样于该请求所指向资源所在的域的 HTTP 请求。好比说,域名A(http://domaina.example)的某 Web 应用程序中经过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会致使浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各种资源(包括CSS、图片、JavaScript 脚本以及其它类资源),已经成为了一种广泛且流行的方式。后端

正如你们所知,出于安全考虑,浏览器会限制脚本中发起的跨站请求。好比,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵照同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能愈来愈强大、愈来愈丰富。好比,可使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不许确,跨域并不是浏览器限制了发起跨站请求,而是跨站请求能够正常发起,可是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器不管是否跨域!注意:有些浏览器不容许从HTTPS的域跨域访问HTTP,好比Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)api

更多CORS介绍请看这里:跨域

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS浏览器

在WEB项目中,若是咱们想支持CORS,通常都要经过过滤器进行实现,能够定义一些基本的规则,可是不方便提供更细粒度的配置,若是你想参考过滤器实现,你能够阅读下面这篇文章:安全

http://my.oschina.net/huangyong/blog/521891服务器

Spring MVC 从4.2版本开始增长了对CORS的支持

在Spring MVC 中增长CORS支持很是简单,能够配置全局的规则,也可使用@CrossOrigin注解进行细粒度的配置。cookie

使用@CrossOrigin注解

先经过源码看看该注解支持的属性:mvc

@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public [@interface](https://my.oschina.net/u/996807) CrossOrigin {

    String[] DEFAULT_ORIGINS = { "*" };

    String[] DEFAULT_ALLOWED_HEADERS = { "*" };

    boolean DEFAULT_ALLOW_CREDENTIALS = true;

    long DEFAULT_MAX_AGE = 1800;


    /**
     * 同origins属性同样
     */
    @AliasFor("origins")
    String[] value() default {};

    /**
     * 全部支持域的集合,例如"http://domain1.com"。
     * <p>这些值都显示在请求头中的Access-Control-Allow-Origin
     * "*"表明全部域的请求都支持
     * <p>若是没有定义,全部请求的域都支持
     * @see #value
     */
    @AliasFor("value")
    String[] origins() default {};

    /**
     * 容许请求头重的header,默认都支持
     */
    String[] allowedHeaders() default {};

    /**
     * 响应头中容许访问的header,默认为空
     */
    String[] exposedHeaders() default {};

    /**
     * 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
     * 默认支持RequestMapping中设置的方法
     */
    RequestMethod[] methods() default {};

    /**
     * 是否容许cookie随请求发送,使用时必须指定具体的域
     */
    String allowCredentials() default "";

    /**
     * 预请求的结果的有效期,默认30分钟
     */
    long maxAge() default -1;

}

若是你对这些属性的含义不是很明白,建议阅读下面的文章了解更多:app

http://fengchj.com/?p=1888cors

下面举例在方法和Controller上使用该注解。

在Controller上使用@CrossOrigin注解

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

这里指定当前的AccountController中全部的方法能够处理http://domain2.com域上的请求,

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin("http://domain2.com")
    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在这个例子中,AccountController类上也有@CrossOrigin注解,retrieve方法上也有注解,Spring会合并两个注解的属性一块儿使用。

CORS全局配置

除了细粒度基于注解的配置,你可能会想定义一些全局CORS的配置。这相似于使用过滤器,但能够在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认状况下全部的域名和GET、HEAD和POST方法都是容许的。

基于JAVA的配置

看下面例子:

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

您能够轻松地更改任何属性,以及配置适用于特定的路径模式的CORS:

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(false).maxAge(3600);
    }
}

若是你使用Spring Boot,你能够经过这种方式方便的进行配置。

基于XML的配置

<mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

这个配置和上面JAVA方式的第一种做用同样。

一样,你能够作更复杂的配置:

<mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程