1.6. CORS
Spring MVC允许你处理CORS(跨源资源共享)。本章节说明如何进行。
1.6.1. 介绍
出于安全原因,浏览器禁止对当前源外的资源进行AJAX访问。例如,你可以将你的银行账户放在一个标签中,将evil.com放在另一个标签中,来自evil.com页面上的脚本不应该使用你的凭据向你的银行API发送AJAX请求——例如从你的银行账户提取资金!
跨源资源共享(CORS)是一个大多数浏览器实现的W3C规范,允许你指定授权的跨域请求类型,而不是使用基于IFRAME或者JSONP的安全性较低且性能较弱的变通方法
1.6.2. 处理
CORS规范区分了前置请求、简单请求和实际请求。要了解CORS的工作原理,您可以阅读本文以及其他许多文章,或者查看规范了解更多细节。
Spring MVC HandlerMapping实现提供了对CORS的内置支持。成功地将请求映射到处理程序之后,HandlerMapping实现将检查给定请求和处理程序的CORS配置并采取进一步的操作。前置请求直接处理,而简单请求和实际的CORS请求被拦截、验证,并设置了所需的CORS响应头。
为了启用跨源请求(也就是说,源标头是存在的,并且与请求的主机不同),您需要一些显式声明的CORS配置。如果没有找到匹配的CORS配置,前置请求将被拒绝。没有将CORS标头添加到简单请求和实际的CORS请求的响应中,因此浏览器会拒绝它们。
每个HandlerMapping都可以使用基于URL模式的CorsConfiguration映射单独配置。在大多数情况下,应用程序使用MVC Java配置或XML名称空间来声明这样的映射,这将导致一个全局映射被传递给所有HandlerMappping实例。
您可以将HandlerMapping级别的全局CORS配置与更细粒度的处理程序级别CORS配置组合起来。例如,带注释的控制器可以使用类或方法级别的@CrossOrigin注解(其他处理程序可以实现CorsConfigurationSource)。
组合全局和本地配置的规则通常是附加的——例如,所有全局和所有本地源。对于那些只能接受单个值的属性(如allowCredentials和maxAge),本地覆盖全局值。有关详细信息,请参见CorsConfiguration#combine(CorsConfiguration)。
要从源中了解更多信息或进行更多高级自定义,请检查后面的代码
CorsConfigurationCorsProcessor,DefaultCorsProcessorAbstractHandlerMapping
1.6.3. @CrossOrigin
@CrossOrigin能够对带注解的控制器方法进行跨源请求,例如下面的示例:
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
默认情况下,@CrossOrigin允许:
- 所有来源
- 所有头部
- 控制器方法映射到的所有HTTP方法
allowedCredentials默认不启用,因为它建立了一个信任级别,用于公开敏感的用户特定信息(例如cookies和CSRF令牌),并且只用在适当的地方。
maxAge设定为30分钟。
@CrossOrigin在类级别也支持使用,并且由类下所有方法集成,请看下面的示例:
@CrossOrigin(origins = "https://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
你可以同时在类级别和方法级别上使用@CrossOrigin,如下面代码所示:
@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin("https://domain2.com")
@GetMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@DeleteMapping("/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
1.6.4. 全局配置
除了细粒度的控制器方法级配置外,您可能还想定义一些全局CORS配置。您可以在任何HandlerMapping上单独设置基于URL的CorsConfiguration映射。但是,大多数应用程序都使用MVC Java配置或MVC XNM命名空间来实现这一点。
默认情况下,全局配置启用以下功能:
- 所有的来源。
- 所有的头部。
-
GET、HEAD和POST方法。
allowedCredentials默认不启用,因为它建立了一个信任级别,用于公开敏感的用户特定信息(例如cookies和CSRF令牌),并且只用在适当的地方。
maxAge设置为30分钟。
Java配置
在MVC Java配置中启用CORS,你可以使用CorsRegistry回调,如下面示例:
@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("https://domain2.com")
.allowedMethods("PUT", "DELETE")
.allowedHeaders("header1", "header2", "header3")
.exposedHeaders("header1", "header2")
.allowCredentials(true).maxAge(3600);
// Add more mappings...
}
}
XML 配置
在XML中启用CORS,你可以使用<mvc:cors>元素,如下面示例:
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="https://domain1.com, https://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="true"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="https://domain1.com" />
</mvc:cors>
1.6.5. CORS过滤器
你可以通过内置的CorsFilter请求CORS支持
如果您尝试使用带有Spring Security的
CorsFilter,请记住Spring Security内置了对CORS的支持。
要配置过滤器,请将CorsConfigurationSource传递给它的构造函数,如下面的示例所示:
CorsConfiguration config = new CorsConfiguration();
// Possibly...
// config.applyPermitDefaultValues()
config.setAllowCredentials(true);
config.addAllowedOrigin("https://domain1.com");
config.addAllowedHeader("*");
config.addAllowedMethod("*");
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", config);
CorsFilter filter = new CorsFilter(source);
