40

我想将此标头“Access-Control-Allow-Origin”,“*”添加到每当我的应用程序中对休息控制器发出请求以允许跨源资源共享时对客户端所做的每个响应目前我正在手动添加这个像这样的每个方法的标题

HttpHeaders headers = new HttpHeaders();
headers.add("Access-Control-Allow-Origin", "*");

它的工作,但它非常令人沮丧。我在 spring 文档中找到了 webContentInterceptor,它允许我们修改每个响应的标题

<mvc:interceptors>
<bean id="webContentInterceptor" 
class="org.springframework.web.servlet.mvc.WebContentInterceptor">
<property name="Access-Control-Allow-Origin" value="*"/>
</bean>
</mvc:interceptors>

但是当我使用它时,它会抛出错误,找不到名称为 Access-Control-Allow-Origin 的属性,所以有没有其他方法可以自动将标题添加到每个响应

更新 !Spring 框架 4.2 通过向方法或控制器本身添加 @CrossOrigin 注释极大地简化了这一点 https://spring.io/blog/2015/06/08/cors-support-in-spring-framework

4

7 回答 7

59

我最近遇到了这个问题并找到了这个解决方案。您可以使用过滤器添加这些标题:

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;

public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
            response.addHeader("Access-Control-Allow-Origin", "*");
            if (request.getHeader("Access-Control-Request-Method") != null
                    && "OPTIONS".equals(request.getMethod())) {
                // CORS "pre-flight" request
                response.addHeader("Access-Control-Allow-Methods",
                        "GET, POST, PUT, DELETE");
                response.addHeader("Access-Control-Allow-Headers",
                        "X-Requested-With,Origin,Content-Type, Accept");
            }
            filterChain.doFilter(request, response);
    }

}

不要忘记将过滤器添加到您的 spring 上下文中:

<bean id="corsFilter" class="my.package.CorsFilter" />

以及 web.xml 中的映射:

<filter>
    <filter-name>corsFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>corsFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

更进一步,您可以指定一个 Spring 配置文件来启用或禁用此过滤器,如下所示:

<beans profile="!cors">
    <bean id="corsFilter" class="my.package.FilterChainDoFilter" />
</beans>

<beans profile="cors">
    <bean id="corsFilter" class="my.package.CorsFilter" />
</beans>

(提供类似于 CorsFilter 但仅filterChain.doFilter(request, response);在 doFilterInternal(..) 中执行的 FilterChainDoFilter)

于 2013-04-24T12:13:57.630 回答
15

更新 !Spring 框架 4.2 通过向方法或控制器本身添加 @CrossOrigin 注释极大地简化了这一点 https://spring.io/blog/2015/06/08/cors-support-in-spring-framework

于 2015-08-07T14:45:58.123 回答
5

如果要为控制器设置标题,可以使用@ModelAttribute注释。

@ModelAttribute
public void setVaryResponseHeader(HttpServletResponse response) {
    response.setHeader("Vary", "Accept");
}
于 2015-01-23T19:56:49.640 回答
1

在 Spring 4 中,您可以使用 @CrossOrigin() 来解决跨源问题。

出于安全原因,浏览器禁止对位于当前来源之外的资源进行 AJAX 调用。例如,当您在一个选项卡中检查您的银行帐户时,您可以在另一个选项卡中拥有 evil.com 网站。evil.com 的脚本不能使用您的凭据向您的银行 API 发出 AJAX 请求(从您的帐户中提取资金!)。

跨域资源共享 (CORS) 是大多数浏览器实现的 W3C 规范,它允许您以灵活的方式指定授权哪种跨域请求,而不是使用一些安全性较低且功能较弱的 hack,如 IFrame 或 JSONP。

Spring Framework 4.2 GA 为 CORS 提供了开箱即用的一流支持,与典型的基于过滤器的解决方案相比,为您提供了一种更简单、更强大的配置方式。

您可以将 @CrossOrigin 注释添加到您的 @RequestMapping 注释处理程序方法中,以便在其上启用 CORS。默认情况下,@CrossOrigin 允许 @RequestMapping 注解中指定的所有来源和 HTTP 方法:

@RestController
@RequestMapping("/account")
public class AccountController {

    @CrossOrigin
    @RequestMapping("/{id}")
    public Account retrieve(@PathVariable Long id) {
        // ...
    }

    @RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
    public void remove(@PathVariable Long id) {
        // ...
    }
}

http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html

https://spring.io/guides/gs/rest-service-cors/

https://spring.io/blog/2015/06/08/cors-support-in-spring-framework

于 2016-11-24T13:03:49.473 回答
0

WebContentInterceptor没有名为 的属性Access-Control-Allow-Origin,据我所知,它没有公开任何设置响应标头的方法。它仅通过启用/禁用某些属性来设置一些与缓存相关的标头。但是编写自己的拦截器(或 servlet 过滤器)来执行此操作很简单。

于 2013-04-24T11:29:56.680 回答
0

基本上,我在浏览器中遇到了一个障碍,因为我的 Spring Server 没有告诉浏览器该做什么(不在标题中添加“允许的来源”)。

因此,在SPRING CLOUD GATEWAY中解决的问题如下:

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CustomGlobalFilter implements GlobalFilter {


@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {

    exchange.getResponse().getHeaders().set("Access-Control-Allow-Origin", "*");

    if (exchange.getResponse().getHeaders().getAccessControlRequestMethod() != null
            && "OPTIONS".equals(exchange.getResponse().getHeaders().getAccessControlRequestMethod())) {
        // CORS "pre-flight" request
        exchange.getResponse().getHeaders().set("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE");
        exchange.getResponse().getHeaders().set("Access-Control-Allow-Headers",
                "X-Requested-With,Origin,Content-Type,Accept");
    }
    return chain.filter(exchange);
}

}

于 2021-12-16T22:10:26.533 回答
0

我也面临这个问题,我已经修复了这个代码问题。

public static HttpServletResponse getResponse(HttpServletResponse response) {
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setCharacterEncoding("UTF-8");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET");
    response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
    return response;
}
于 2015-07-27T04:47:49.783 回答