Spring MVC 4.2 增長 CORS 支持
- 標籤:
- spring mvc /
- cors /
- 跨越資源共享
- 30238
Spring MVC 4.2 增長 CORS 支持
跨站 HTTP 請求(Cross-site HTTP request)是指發起請求的資源所在域不一樣於該請求所指向資源所在的域的 HTTP 請求。好比說,域名A(http://domaina.example)的某 Web 應用程序中經過標籤引入了域名B(http://domainb.foo)站點的某圖片資源(http://domainb.foo/image.jpg),域名A的那 Web 應用就會致使瀏覽器發起一個跨站 HTTP 請求。在當今的 Web 開發中,使用跨站 HTTP 請求加載各種資源(包括CSS、圖片、JavaScript 腳本以及其它類資源),已經成爲了一種廣泛且流行的方式。spring
正如你們所知,出於安全考慮,瀏覽器會限制腳本中發起的跨站請求。好比,使用 XMLHttpRequest 對象發起 HTTP 請求就必須遵照同源策略(same-origin policy)。 具體而言,Web 應用程序能且只能使用 XMLHttpRequest 對象向其加載的源域名發起 HTTP 請求,而不能向任何其它域名發起請求。爲了能開發出更強大、更豐富、更安全的Web應用程序,開發人員渴望着在不丟失安全的前提下,Web 應用技術能愈來愈強大、愈來愈豐富。好比,可使用 XMLHttpRequest 發起跨站 HTTP 請求。(這段描述跨域不許確,跨域並不是瀏覽器限制了發起跨站請求,而是跨站請求能夠正常發起,可是返回結果被瀏覽器攔截了。最好的例子是crsf跨站攻擊原理,請求是發送到了後端服務器不管是否跨域!注意:有些瀏覽器不容許從HTTPS的域跨域訪問HTTP,好比Chrome和Firefox,這些瀏覽器在請求還未發出的時候就會攔截請求,這是一個特例。)後端
更多CORS介紹請看這裏:api
https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS跨域
在WEB項目中,若是咱們想支持CORS,通常都要經過過濾器進行實現,能夠定義一些基本的規則,可是不方便提供更細粒度的配置,若是你想參考過濾器實現,你能夠閱讀下面這篇文章:瀏覽器
Spring MVC 從4.2版本開始增長了對CORS的支持
在Spring MVC 中增長CORS支持很是簡單,能夠配置全局的規則,也可使用@CrossOrigin註解進行細粒度的配置。服務器
使用@CrossOrigin註解
先經過源碼看看該註解支持的屬性:cookie
@Target({ ElementType.METHOD, ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface CrossOrigin {
String[] DEFAULT_ORIGINS = { "*" };
String[] DEFAULT_ALLOWED_HEADERS = { "*" };
boolean DEFAULT_ALLOW_CREDENTIALS = true;
long DEFAULT_MAX_AGE = 1800;
/**
* 同origins屬性同樣
*/
@AliasFor("origins")
String[] value() default {};
/**
* 全部支持域的集合,例如"http://domain1.com"。
* <p>這些值都顯示在請求頭中的Access-Control-Allow-Origin
* "*"表明全部域的請求都支持
* <p>若是沒有定義,全部請求的域都支持
* @see #value
*/
@AliasFor("value")
String[] origins() default {};
/**
* 容許請求頭重的header,默認都支持
*/
String[] allowedHeaders() default {};
/**
* 響應頭中容許訪問的header,默認爲空
*/
String[] exposedHeaders() default {};
/**
* 請求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
* 默認支持RequestMapping中設置的方法
*/
RequestMethod[] methods() default {};
/**
* 是否容許cookie隨請求發送,使用時必須指定具體的域
*/
String allowCredentials() default "";
/**
* 預請求的結果的有效期,默認30分鐘
*/
long maxAge() default -1;
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
若是你對這些屬性的含義不是很明白,建議閱讀下面的文章瞭解更多:mvc
下面舉例在方法和Controller上使用該註解。
在Controller上使用@CrossOrigin註解
@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
這裏指定當前的AccountController中全部的方法能夠處理http://domain2.com域上的請求,
在方法上使用@CrossOrigin註解
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin("http://domain2.com")
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
在這個例子中,AccountController類上也有@CrossOrigin註解,retrieve方法上也有註解,Spring會合並兩個註解的屬性一塊兒使用。
CORS全局配置
除了細粒度基於註解的配置,你可能會想定義一些全局CORS的配置。這相似於使用過濾器,但能夠在Spring MVC中聲明,並結合細粒度@CrossOrigin配置。默認狀況下全部的域名和GET、HEAD和POST方法都是容許的。
基於JAVA的配置
看下面例子:
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
您能夠輕鬆地更改任何屬性,以及配置適用於特定的路徑模式的CORS:
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://domain2.com")
.allowedMethods("PUT", "DELETE")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge(3600);
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
若是你使用Spring Boot,你能夠經過這種方式方便的進行配置。
基於XML的配置
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>
- 1
- 2
- 3
這個配置和上面JAVA方式的第一種做用同樣。
一樣,你能夠作更復雜的配置:
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain1.com" />
</mvc:cors>
- 1. Spring MVC的CORS的支持
- 2. 75CDN 增長 ES Module 支持
- 3. Centos6.4 增長mp3支持
- 4. hive增長Update、Delete支持
- 5. Spring MVC 4.1 支持jsonp
- 6. springmvc項目,增長jdbc支持
- 7. 【spring】跨域支持
- 8. Respo 增長 Effects 功能支持
- 9. PJSIP 2.7.2 增長視頻支持
- 10. lnmp nginx增長對thinkphp5的支持
- 更多相關文章...
- • R 繪圖 - 中文支持 - R 語言教程
- • SVN分支 - SVN 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • TiDB 在摩拜單車在線數據業務的應用和實踐
-
每一个你不满意的现在,都有一个你没有努力的曾经。