出於安全原因，瀏覽器禁止 AJAX 呼叫位於當前源之外的資源。例如，當你在一個標籤頁中檢視銀行賬戶時，另一個標籤頁可能是 evil.com 網站。evil.com 的指令碼不應該能夠使用你的憑據向你的銀行 API 發起 AJAX 請求（從你的賬戶中提取資金！）。

跨域資源共享 (CORS) 是一個 W3C 規範，由 大多數瀏覽器 實現，它允許你以靈活的方式指定哪些跨域請求是授權的，而不是使用一些不太安全且功能較弱的技巧，如 IFrame 或 JSONP。

Spring Framework 4.2 GA 開箱即用地提供了 一流的 CORS 支援，為你提供了比典型的 基於過濾器的 解決方案更容易、更強大的配置方式。

Spring MVC 提供了高階配置功能，詳見下文。

Controller 方法的 CORS 配置

你可以在 @RequestMapping 註解的 handler 方法上新增 @CrossOrigin 註解來啟用該方法的 CORS 支援（預設情況下，@CrossOrigin 允許所有源和 @RequestMapping 註解中指定的 HTTP 方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以為整個 controller 啟用 CORS

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在此示例中，retrieve() 和 remove() 這兩個 handler 方法都啟用了 CORS 支援，你還可以看到如何使用 @CrossOrigin 屬性自定義 CORS 配置。

你甚至可以同時使用 controller 級別和方法級別的 CORS 配置，Spring 會合並這兩個註解屬性來建立一個組合的 CORS 配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果你正在使用 Spring Security，請確保同時在 Spring Security 級別啟用 CORS，以便它能夠利用在 Spring MVC 級別定義的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全域性 CORS 配置

除了細粒度的、基於註解的配置之外，你可能還需要定義一些全域性 CORS 配置。這類似於使用過濾器，但可以在 Spring MVC 中宣告，並與細粒度的 @CrossOrigin 配置相結合。預設情況下，允許所有源以及 GET、HEAD 和 POST 方法。

JavaConfig

為整個應用啟用 CORS 非常簡單，如下所示：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果你正在使用 Spring Boot，建議直接宣告一個 WebMvcConfigurer bean，如下所示：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

你可以輕鬆更改任何屬性，也可以僅將此 CORS 配置應用於特定的路徑模式。

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果你正在使用 Spring Security，請確保同時在 Spring Security 級別啟用 CORS，以便它能夠利用在 Spring MVC 級別定義的配置。

XML 名稱空間

也可以使用 mvc XML 名稱空間 配置 CORS。

這個最小的 XML 配置在 /** 路徑模式上啟用 CORS，其預設屬性與 JavaConfig 相同。

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以宣告多個具有自定義屬性的 CORS 對映。

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果你正在使用 Spring Security，請不要忘記同時在 Spring Security 級別啟用 CORS。

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

工作原理

CORS 請求（包括使用 OPTIONS 方法的預檢請求）會自動分派給註冊的各種 HandlerMapping。它們透過 CorsProcessor 實現（預設為 DefaultCorsProcessor）來處理 CORS 預檢請求並攔截 CORS 簡單請求和實際請求，以便新增相關的 CORS 響應頭（如 Access-Control-Allow-Origin）。CorsConfiguration 允許你指定如何處理 CORS 請求：允許的源、請求頭、方法等。它可以透過多種方式提供：

• AbstractHandlerMapping#setCorsConfiguration() 允許指定一個 Map，其中包含多個 CorsConfiguration，對映到諸如 /api/** 之類的路徑模式上。
• 子類可以透過重寫 AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest) 方法來提供自己的 CorsConfiguration。
• Handlers 可以實現 CorsConfigurationSource 介面（例如 ResourceHttpRequestHandler 現在就是這樣做的），以便為每個請求提供一個 CorsConfiguration。

##基於過濾器的 CORS 支援

作為上述其他方法的替代方案，Spring Framework 還提供了一個 CorsFilter。在這種情況下，你可以在 Spring Boot 應用中透過宣告如下過濾器來替代使用 @CrossOrigin 或 WebMvcConfigurer#addCorsMappings(CorsRegistry)：

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

瞭解更多

• 報名參加 SpringOne Platform 2019 – 使用 Spring 構建可伸縮微服務應用的頂級大會。今年大會將於 10 月 7 日至 10 日在德克薩斯州奧斯汀舉行。使用折扣碼 S1P_Save200 節省門票費用。需要幫助說服你的經理？請使用 此頁面。
• 獲取 Matt Stine 撰寫的免費電子書 Migrating to Cloud-Native Application Architectures
• 這個 網路研討會 討論瞭如何使用 Spring 和 Pivotal Cloud Foundry 保護微服務安全。