首先說下跨域,跨域是由于浏覽器因安全問題使用同源政策導緻的(類似于服務端直接通路就不會産生),即協定、域名、端口不完全相同就會産生跨域請求。以下講解通過後端使用CORS協定處理跨域請求的三種方式,前兩種方式需要springMVC4.2及以上版本
1、使用@CrossOrigin注解
下面是@CrossOrigin各個參數代表的含義:
/**
* 同origins屬性一樣
*/
@AliasFor("origins")
String[] value() default {};
/**
* 所有支援域的集合,例如"http://domain1.com"。
* <p>這些值都顯示在請求頭中的Access-Control-Allow-Origin
* "*"代表所有域的請求都支援
* <p>如果沒有定義,所有請求的域都支援
* @see #value
*/
@AliasFor("value")
String[] origins() default {};
/**
* 允許請求頭重的header,預設都支援
*/
String[] allowedHeaders() default {};
/**
* 響應頭中允許通路的header,預設為空
*/
String[] exposedHeaders() default {};
/**
* 請求支援的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
* 預設支援RequestMapping中設定的方法
*/
RequestMethod[] methods() default {};
/**
* 是否允許cookie随請求發送,使用時必須指定具體的域
*/
String allowCredentials() default "";
/**
* 預請求的結果的有效期,預設30分鐘
*/
long maxAge() default -;
@CrossOrigin可以加在類上,也可以加在方法上,使用@CrossOrigin注解對請求的顆粒度控制更容易。
//@CrossOrigin(origins = "*", maxAge = 3600)
@RestController
@RequestMapping(value = "/cors")
public class CorsController {
@CrossOrigin(origins = "*")
@PostMapping(value = "/postCorsTest")
public String postCorsFun(){
return "get POST Cors";
}
@CrossOrigin(origins = "*")
@PutMapping(value = "/putCorsTest")
public String putCorsFun(){
return "get PUT Cors";
}
}
2、使用全局配置實作CORS跨域
使用全局配置來實作CORS跨域,和過濾器比較類型。
首先是使用java配置來實作(mvc與boot通用)
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/cors/**")
.allowedOrigins("*")
.allowedMethods("POST","PUT", "DELETE")
.allowedHeaders("header1", "header2")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge();
}
}
下面是使用xml配置來實作(mvc):
簡易配置
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>
精細配置
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain1.com" />
</mvc:cors>
3、使用過濾器實作CORS跨域
使用過濾器實作CORS跨域是一種支援更廣的方式,低版本javaee項目也可用(注冊過濾器的方式不同,過濾器實作相同)。
實作過濾器:
public class CorsFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin","*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
if (request.getMethod().equals("OPTIONS"))
response.setStatus(HttpServletResponse.SC_OK);
else {
chain.doFilter(request, response);
}
}
@Override
public void destroy() {
}
}
在SpringBootApplication注解類中注冊Bean:
@Bean
public FilterRegistrationBean filterRegistrationBeanCors(){
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new CorsFilter());
filterRegistrationBean.addUrlPatterns("/cors/*");
filterRegistrationBean.setOrder(Integer.MAX_VALUE);
return filterRegistrationBean;
}