| 属性 | 说明 |
origins |
允许的来源列表. 他的值放置在HTTP协议的响应header的Access-Control-Allow-Origin .– * – 意味着所有的源都是被允许的。– 如果未定义,则允许所有来源。 |
| allowedHeaders | 实际请求期间可以使用的请求标头列表. 值用于预检的响应header Access-Control-Allow-Headers。 – * – 意味着允许客户端请求的所有头文件。– 如果未定义,则允许所有请求的headers。 |
| methods | 支持的HTTP请求方法列表。 如果未定义,则使用由RequestMapping注释定义的方法。 |
| exposedHeaders | 浏览器允许客户端访问的响应头列表。 在实际响应报头Access-Control-Expose-Headers中设置值。 – 如果未定义,则使用空的暴露标题列表。 |
| allowCredentials | 它确定浏览器是否应该包含与请求相关的任何cookie。 – false – cookies 不应该包括在内。– "" (空字符串) – 意味着未定义.– true – 预响应将包括值设置为true的报头Access-Control-Allow-Credentials。– 如果未定义,则允许所有凭据。 |
| maxAge | 预响应的高速缓存持续时间的最大时间(以秒为单位)。 值在标题Access-Control-Max-Age中设置。 – 如果未定义, 最大时间设置为1800秒(30分钟) |
方式一
import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springframework.web.filter.CorsFilter; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter; @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { // 添加cors配置信息 CorsConfiguration config = new CorsConfiguration(); // 需要跨域的域名 config.addAllowedOrigin("http://localhost:8080"); // 设置允许请求的方式 config.addAllowedMethod("*"); // 设置允许的header config.addAllowedHeader("*"); // 设置是否发送cookie信息 config.setAllowCredentials(true); // 设置预响应的高速缓存持续时间的最大时间(以秒为单位,默认1800秒/30分钟) config.setMaxAge(1800L); return config; } @Bean public CorsFilter buildConfig() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); // 为url添加映射路径 source.registerCorsConfiguration("/**", buildConfig()); //返回重新定义好的source return new CorsFilter(source); } }
方式二
public class CorsFilter extends OncePerRequestFilter { static final String ORIGIN = "Origin"; protected void doFilterInternal( HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String origin = request.getHeader(ORIGIN); response.setHeader("Access-Control-Allow-Origin", "*");//* or origin as u prefer response.setHeader("Access-Control-Allow-Credentials", "true"); response.setHeader("Access-Control-Allow-Methods", "PUT, POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "content-type, authorization"); if (request.getMethod().equals("OPTIONS")) response.setStatus(HttpServletResponse.SC_OK); else filterChain.doFilter(request, response); } }
方式三
以上两种方式都是全局配置的,spring提供了@CrossOrigin注解,使用@CrossOrigin注解可以精细配置到类和方法上
一.spring框架中使用@CrossOrigin注解方法级CORS
Spring MVC提供了@CrossOrigin注解。 这个注释标注了注释的方法或类型,允许跨源请求。
默认情况下,@CrossOrigin允许所有的来源,所有的头文件,@RequestMapping注解中指定的HTTP方法和30分钟的maxAge
1.1@CrossOrigin Class/Controller Level
@CrossOrigin(origins = "*", allowedHeaders = "*")
@Controller
public class HomeController
{
@GetMapping(path="/")
public String homeInit(Model model) {
return "home";
}
}
1.2@CrossOrigin at Method Level
@Controller
public class HomeController
{
@CrossOrigin(origins = "*", allowedHeaders = "*")
@GetMapping(path="/")
public String homeInit(Model model) {
return "home";
}
}
1.3 @CrossOrigin Overridden at Method Level
homeInit()方法只能从域http://example.com访问。 其他方法在HomeController中将可以从所有域访问。
@Controller
public class HomeController
{
@CrossOrigin(origins = "*", allowedHeaders = "*")
@GetMapping(path="/")
public String homeInit(Model model) {
return "home";
}
}
二.Spring框架全局CORS 配置
2.1Spring MVC CORS 使用WebMvcConfigurerAdapter配置
要为整个应用程序启用CORS,请使用WebMvcConfigurerAdapter 添加 CorsRegistry。
@Configuration
@EnableWebMvc
public class CorsConfiguration extends WebMvcConfigurerAdapter
{
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedMethods("GET", "POST");
}
}
2.2Spring Boot CORS 使用WebMvcConfigurer配置
在spring boot应用程序中,建议只声明一个WebMvcConfigurer bean。
@Configuration
public class CorsConfiguration
{
@Bean
public WebMvcConfigurer corsConfigurer()
{
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**");
}
};
}
}
2.3CORS 使用Spring Security配置
要通过Spring安全性启用CORS支持,请配置CorsConfigurationSource bean并使用HttpSecurity.cors() 配置。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.cors().and()
//other config
}
@Bean
CorsConfigurationSource corsConfigurationSource()
{
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
}
参考链接:http://www.leftso.com/blog/303.html