首先说下跨域,跨域是由于浏览器因安全问题使用同源策略导致的(类似于服务端直接访问就不会产生),即协议、域名、端口不完全相同就会产生跨域请求。以下讲解通过后端使用CORS协议处理跨域请求的三种方式,前两种方式需要springMVC4.2及以上版本
1、使用@CrossOrigin注解
下面是@CrossOrigin各个参数代表的含义:
/**
* 同origins属性一样
*/
@AliasFor("origins")
String[] value() default {};
/**
* 所有支持域的集合,例如"http://domain1.com"。
* <p>这些值都显示在请求头中的Access-Control-Allow-Origin
* "*"代表所有域的请求都支持
* <p>如果没有定义,所有请求的域都支持
* @see #value
*/
@AliasFor("value")
String[] origins() default {};
/**
* 允许请求头重的header,默认都支持
*/
String[] allowedHeaders() default {};
/**
* 响应头中允许访问的header,默认为空
*/
String[] exposedHeaders() default {};
/**
* 请求支持的方法,例如"{RequestMethod.GET, RequestMethod.POST}"}。
* 默认支持RequestMapping中设置的方法
*/
RequestMethod[] methods() default {};
/**
* 是否允许cookie随请求发送,使用时必须指定具体的域
*/
String allowCredentials() default "";
/**
* 预请求的结果的有效期,默认30分钟
*/
long maxAge() default -1;@CrossOrigin可以加在类上,也可以加在方法上,使用@CrossOrigin注解对请求的颗粒度控制更容易。
//@CrossOrigin(origins = "*", maxAge = 3600)
@RestController
@RequestMapping(value = "/cors")
public class CorsController {
@CrossOrigin(origins = "*")
@PostMapping(value = "/postCorsTest")
public String postCorsFun(){
return "get POST Cors";
}
@CrossOrigin(origins = "*")
@PutMapping(value = "/putCorsTest")
public String putCorsFun(){
return "get PUT Cors";
}
}2、使用全局配置实现CORS跨域
使用全局配置来实现CORS跨域,和过滤器比较类型。
首先是使用java配置来实现(mvc与boot通用)
@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/cors/**")
.allowedOrigins("*")
.allowedMethods("POST","PUT", "DELETE")
.allowedHeaders("header1", "header2")
.exposedHeaders("header1", "header2")
.allowCredentials(false).maxAge(3600);
}
}下面是使用xml配置来实现(mvc):
简易配置
<mvc:cors>
<mvc:mapping path="/**" />
</mvc:cors>精细配置
<mvc:cors>
<mvc:mapping path="/api/**"
allowed-origins="http://domain1.com, http://domain2.com"
allowed-methods="GET, PUT"
allowed-headers="header1, header2, header3"
exposed-headers="header1, header2" allow-credentials="false"
max-age="123" />
<mvc:mapping path="/resources/**"
allowed-origins="http://domain1.com" />
</mvc:cors>3、使用过滤器实现CORS跨域
使用过滤器实现CORS跨域是一种支持更广的方式,低版本javaee项目也可用(注册过滤器的方式不同,过滤器实现相同)。
实现过滤器:
public class CorsFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin","*");
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
if (request.getMethod().equals("OPTIONS"))
response.setStatus(HttpServletResponse.SC_OK);
else {
chain.doFilter(request, response);
}
}
@Override
public void destroy() {
}
}
在SpringBootApplication注解类中注册Bean:
@Bean
public FilterRegistrationBean filterRegistrationBeanCors(){
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new CorsFilter());
filterRegistrationBean.addUrlPatterns("/cors/*");
filterRegistrationBean.setOrder(Integer.MAX_VALUE);
return filterRegistrationBean;
}