注解@CrossOrigin解决跨域问题

发布时间:2026/7/9 16:14:06
注解@CrossOrigin解决跨域问题 注解CrossOrigin解决跨域问题阅读目录一、跨域(CORS)支持二、使用方法1、controller配置CORS2、全局CORS配置3、XML命名空间4、How does it work?5、基于过滤器的CORS支持三、spring注解CrossOrigin不起作用的原因四、参考文章阅读正文注解CrossOrigin出于安全原因浏览器禁止Ajax调用驻留在当前原点之外的资源。例如当你在一个标签中检查你的银行账户时你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求从你的帐户中取出钱使用您的凭据。跨源资源共享CORS是由大多数浏览器实现的W3C规范允许您灵活地指定什么样的跨域请求被授权而不是使用一些不太安全和不太强大的策略如IFRAME或JSONP。回到顶部一、跨域(CORS)支持Spring Framework 4.2 GA为CORS提供了第一类支持使您比通常的基于过滤器的解决方案更容易和更强大地配置它。所以springMVC的版本要在4.2或以上版本才支持CrossOrigin回到顶部二、使用方法1、controller配置CORS1.1、controller方法的CORS配置您可以向RequestMapping注解处理程序方法添加一个CrossOrigin注解以便启用CORS默认情况下CrossOrigin允许在RequestMapping注解中指定的所有源和HTTP方法RestController RequestMapping(/account) public class AccountController { CrossOrigin GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }其中CrossOrigin中的2个参数origins 允许可访问的域列表maxAge准备响应前的缓存持续的最大时间以秒为单位。1.2、为整个controller启用CrossOriginCrossOrigin(origins http://domain2.com, maxAge 3600) RestController RequestMapping(/account) public class AccountController { GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }在这个例子中对于retrieve()和remove()处理方法都启用了跨域支持还可以看到如何使用CrossOrigin属性定制CORS配置。1.3、同时使用controller和方法级别的CORS配置Spring将合并两个注释属性以创建合并的CORS配置。CrossOrigin(maxAge 3600) RestController RequestMapping(/account) public class AccountController { CrossOrigin(origins http://domain2.com) GetMapping(/{id}) public Account retrieve(PathVariable Long id) { // ... } DeleteMapping(/{id}) public void remove(PathVariable Long id) { // ... } }1.4、如果您正在使用Spring Security请确保在Spring安全级别启用CORS并允许它利用Spring MVC级别定义的配置。EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http.cors().and()... } }2、全局CORS配置除了细粒度、基于注释的配置之外您还可能需要定义一些全局CORS配置。这类似于使用筛选器但可以声明为Spring MVC并结合细粒度CrossOrigin配置。默认情况下所有origins and GET, HEAD and POST methods是允许的。JavaConfig使整个应用程序的CORS简化为Configuration EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**); } }如果您正在使用Spring Boot建议将WebMvcConfigurer bean声明如下Configuration public class MyConfiguration { Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/**); } }; } }您可以轻松地更改任何属性以及仅将此CORS配置应用到特定的路径模式Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping(/api/**) .allowedOrigins(http://domain2.com) .allowedMethods(PUT, DELETE) .allowedHeaders(header1, header2, header3) .exposedHeaders(header1, header2) .allowCredentials(false).maxAge(3600); }如果您正在使用Spring Security请确保在Spring安全级别启用CORS并允许它利用Spring MVC级别定义的配置。3、XML命名空间还可以将CORS与MVC XML命名空间配置。a、如果整个项目所有方法都可以访问则可以这样配置此最小XML配置使CORS在/**路径模式具有与JavaConfig相同的缺省属性mvc:cors mvc:mapping path/** / /mvc:cors其中* 表示匹配到下一层** 表示后面不管有多少层都能匹配。如mvc:cors mvc:mapping path/api/*/ /mvc:cors这个可以匹配到的路径有/api/aaa /api/bbbb 不能匹配的 /api/aaa/bbb因为* 只能匹配到下一层路径如果想后面不管多少层都可以匹配配置如下mvc:cors mvc:mapping path/api/**/ /mvc:cors注其实就是一个(*)变成两个(**)b、也可以用定制属性声明几个CORS映射mvc:cors mvc:mapping path/api/** allowed-originshttp://domain1.com, http://domain2.com allowed-methodsGET, PUT allowed-headersheader1, header2, header3 exposed-headersheader1, header2 allow-credentialsfalse max-age123 / mvc:mapping path/resources/** allowed-originshttp://domain1.com / /mvc:cors请求路径有/api/方法示例如下RequestMapping(/api/crossDomain) ResponseBody public String crossDomain(HttpServletRequest req, HttpServletResponse res, String name){ …… …… }c、如果使用Spring Security不要忘记在Spring安全级别启用CORShttp !-- Default to Spring MVCs CORS configuration -- cors / ... /http4、How does it work?CORS请求包括预选的带有选项方法被自动发送到注册的各种HandlerMapping 。它们处理CORS准备请求并拦截CORS简单和实际请求这得益于CorsProcessor实现默认情况下默认DefaultCorsProcessor处理器以便添加相关的CORS响应头如Access-Control-Allow-Origin。 CorsConfiguration 允许您指定CORS请求应该如何处理允许origins, headers, methods等。a、AbstractHandlerMapping#setCorsConfiguration()允许指定一个映射其中有几个CorsConfiguration 映射在路径模式上比如/api/**。b、子类可以通过重写AbstractHandlerMapping类的getCorsConfiguration(Object, HttpServletRequest)方法来提供自己的CorsConfiguration。c、处理程序可以实现 CorsConfigurationSource接口如ResourceHttpRequestHandler以便为每个请求提供一个CorsConfiguration。5、基于过滤器的CORS支持作为上述其他方法的替代Spring框架还提供了CorsFilter。在这种情况下不用使用CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry),例如可以在Spring Boot应用程序中声明如下的过滤器Configuration public class MyConfiguration { Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source new UrlBasedCorsConfigurationSource(); CorsConfiguration config new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin(http://domain1.com); config.addAllowedHeader(*); config.addAllowedMethod(*); source.registerCorsConfiguration(/**, config); FilterRegistrationBean bean new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0); return bean; } }三、spring注解CrossOrigin不起作用的原因1、是springMVC的版本要在4.2或以上版本才支持CrossOrigin2、非CrossOrigin没有解决跨域请求问题而是不正确的请求导致无法得到预期的响应导致浏览器端提示跨域问题。3、在Controller注解上方添加CrossOrigin注解后仍然出现跨域问题解决方案之一就是在RequestMapping注解中没有指定Get、Post方式具体指定后问题解决。类似代码如下CrossOrigin RestController public class person{ RequestMapping(method RequestMethod.GET) public String add() { // 若干代码 } }四、参考文章1、官方文档CORS support in Spring Framework2、http://fanshuyao.iteye.com/blog/23841893、spring注解CrossOrigin不起作用的原因之一_不正确的请求导致无法得到预期的响应的原因-CSDN博客4、Spring框架跨域问题之使用CrossOrigin注解解决失败的原因总结_controller加跨域注解-CSDN博客