SpringBoot允许跨域访问

该文章转至SpringBoot官网 http://spring.io/blog/2015/06/08/cors-support-in-spring-framework

现在开发的项目一般都是前后端分离的项目，所以跨域访问会经常使用。

出于安全原因，浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如，当您在一个标签中检查您的银行帐户时，您可以将evil.com网站放在另一个标签中。来自evil.com的脚本不能使用您的凭据向您的银行API（从您的帐户中提取资金！）发出AJAX请求。

跨源资源共享（CORS）是大多数浏览器实现的W3C规范，允许您以灵活的方式指定授权的跨域请求类型，而不是使用IFrame或JSONP等安全性较低且功能较弱的黑客。

Spring Framework 4.2 GA为开箱即用的CORS提供了一流的支持，为您提供了比典型的基于过滤器的解决方案更简单，更强大的配置方式。

Spring MVC提供了高级配置工具，如下所述。

控制器方法CORS配置

您可以在@RequestMapping注释的处理程序方法中添加@CrossOrigin注释，以便在其上启用CORS（默认情况下@CrossOrigin允许@RequestMapping注释中指定的所有源和HTTP方法）：

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

也可以为整个控制器启用CORS：

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

在此示例中，为两个retrieve()和remove()处理程序方法启用了CORS支持，您还可以了解如何使用@CrossOrigin属性自定义CORS配置。

您甚至可以使用控制器和方法级别的CORS配置，然后Spring将组合两个注释属性以创建合并的CORS配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin(origins = "http://domain2.com")
    @GetMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @DeleteMapping("/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

如果您使用的是Spring Security，请确保在Spring Security级别启用CORS，以允许它利用Spring MVC级别定义的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

全局CORS配置

除了细粒度的基于注释的配置之外，您可能还需要定义一些全局CORS配置。这类似于使用过滤器，但可以使用Spring MVC声明并结合细粒度@CrossOrigin配置。默认情况下GET，允许所有原点HEAD和POST方法。

JavaConfig

为整个应用程序启用CORS非常简单：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

如果您使用的是Spring Boot，建议您将WebMvcConfigurerbean 声明如下：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以轻松更改任何属性，并仅将此CORS配置应用于特定路径模式：

@Override
public void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/api/**")
        .allowedOrigins("http://domain2.com")
        .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
        .exposedHeaders("header1", "header2")
        .allowCredentials(false).maxAge(3600);
}

如果您使用的是Spring Security，请确保在Spring Security级别启用CORS，以允许它利用Spring MVC级别定义的配置。

XML命名空间

也可以使用mvc XML名称空间配置CORS 。

这种最小的XML配置在/**路径模式上启用CORS ，其默认属性与JavaConfig相同：

<mvc:cors>
    <mvc:mapping path="/**" />
</mvc:cors>

也可以使用自定义属性声明多个CORS映射：

<mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>

如果您使用的是Spring Security，请不要忘记在Spring Security级别启用CORS：

<http>
    <!-- Default to Spring MVC's CORS configuration -->
    <cors />
    ...
</http>

它是如何工作的？

CORS请求（包括带有OPTIONS方法的预检）会自动发送到各个HandlerMapping已注册的请求。由于CorsProcessor实现（默认情况下为DefaultCorsProcessor），它们处理CORS预检请求并拦截CORS简单和实际请求，以便添加相关的CORS响应头（如Access-Control-Allow-Origin）。CorsConfiguration允许您指定如何处理CORS请求：允许的起源，标题，方法等。它可以以各种方式提供：

• AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射在路径模式上的Map几个CorsConfiguration/api/**
• 子类可以CorsConfiguration通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法提供自己的子类
• 处理程序可以实现CorsConfigurationSource接口（就像ResourceHttpRequestHandler现在一样），以便为每个请求提供CorsConfiguration。

基于过滤器的CORS支持

作为上述其他方法的替代方案，Spring Framework还提供了CorsFilter。在这种情况下，您可以在Spring Boot应用程序中声明过滤器，而不是使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry)：

@Configuration
public class MyConfiguration {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://domain1.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}