控制器方法CORS配置

您可以在@RequestMapping注释的处理程序方法中添加

也可以为整个控制器启用CORS：

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController {    @GetMapping("/{id}")    public Account retrieve(@PathVariable Long id) {        // ...
    }    @DeleteMapping("/{id}")    public void remove(@PathVariable Long id) {        // ...
    }
}

在此示例中，为两个retrieve()和remove()处理程序方法启用了CORS支持，您还可以了解如何使用@CrossOrigin属性自定义CORS配置。

您甚至可以使用控制器和方法级别的CORS配置，然后Spring将组合两个注释属性以创建合并的CORS配置。

@CrossOrigin(maxAge = 3600)@RestController@RequestMapping("/account")public class AccountController {    @CrossOrigin(origins = "http://domain2.com")    @GetMapping("/{id}")    public Account retrieve(@PathVariable Long id) {        // ...
    }    @DeleteMapping("/{id}")    public void remove(@PathVariable Long id) {        // ...
    }
}

如果您使用的是Spring Security，请确保在Spring Security级别启用CORS，以允许它利用Spring MVC级别定义的配置。

@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter {    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

全局CORS配置

除了细粒度的基于注释的配置之外，您可能还需要定义一些全局CORS配置。这类似于使用过滤器，但可以使用Spring MVC声明并结合细粒度@CrossOrigin配置。默认情况下GET，允许所有原点HEAD和POST方法。

JavaConfig

为整个应用程序启用CORS非常简单：

@Configuration@EnableWebMvcpublic class WebConfig extends WebMvcConfigurerAdapter {    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**");
    }
}

如果您使用的是Spring Boot，建议您将WebMvcConfigurerbean 声明如下：

@Configurationpublic class MyConfiguration {    @Bean
    public WebMvcConfigurer corsConfigurer() {        return new WebMvcConfigurerAdapter() {            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以轻松更改任何属性，并仅将此CORS配置应用于特定路径模式：

@Overridepublic void addCorsMappings(CorsRegistry registry) {
    registry.addMapping("/api/**")
        .allowedOrigins("http://domain2.com")
        .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
        .exposedHeaders("header1", "header2")
        .allowCredentials(false).maxAge(3600);
}

如果您使用的是Spring Security，请确保在Spring Security级别启用CORS，以允许它利用Spring MVC级别定义的配置。

XML命名空间

也可以使用mvc XML名称空间配置CORS 。

这种最小的XML配置在/**路径模式上启用CORS ，其默认属性与JavaConfig相同：

<mvc:cors>
    <mvc:mapping path="/**" /></mvc:cors>

也可以使用自定义属性声明多个CORS映射：

<mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" /></mvc:cors>

如果您使用的是Spring Security，请不要忘记在Spring Security级别启用CORS：

<http>    <!-- Default to Spring MVC's CORS configuration -->
    <cors />
    ...</http>

它是如何工作的？

CORS请求（包括带有OPTIONS方法的预检）会自动发送到各个HandlerMapping已注册的请求。由于CorsProcessor实现（默认情况下为DefaultCorsProcessor），它们处理CORS预检请求并拦截CORS简单和实际请求，以便添加相关的CORS响应头（如Access-Control-Allow-Origin）。CorsConfiguration允许您指定如何处理CORS请求：允许的起源，标题，方法等。它可以以各种方式提供：

• AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射在路径模式上的Map几个CorsConfiguration/api/**

• 子类可以CorsConfiguration通过重写AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法提供自己的子类

• 处理程序可以实现CorsConfigurationSource接口（就像ResourceHttpRequestHandler现在一样），以便为每个请求提供CorsConfiguration。

基于过滤器的CORS支持

作为上述其他方法的替代方案，Spring Framework还提供了CorsFilter。在这种情况下，您可以在Spring Boot应用程序中声明过滤器，而不是使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry)：

@Configurationpublic class MyConfiguration {    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://domain1.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);        return bean;
    }
}

作者：MasterXiao
链接：https://www.jianshu.com/p/85db845d3929