出於安全原因，瀏覽器禁止 AJAX 呼叫當前來源之外的資源。例如，當您在一個標籤頁中檢視銀行賬戶時，另一個標籤頁可能正在執行 evil.com 網站。來自 evil.com 的指令碼不應能夠使用您的憑據向您的銀行 API 發出 AJAX 請求（從您的賬戶中提款！）。

跨域資源共享 (CORS) 是 W3C 規範，由大多數瀏覽器實現，它允許您以靈活的方式指定哪些型別的跨域請求是經過授權的，而不是使用 IFrame 或 JSONP 等安全性較低、功能較弱的“駭客”手段。

Spring Framework 4.2 GA 開箱即用地提供了一流的 CORS 支援，為您提供了比典型的基於過濾器的解決方案更簡單、更強大的配置方式。

Spring MVC 提供了高階配置功能，如下所述。

控制器方法 CORS 配置

您可以在您的 @RequestMapping 註解處理程式方法上新增 @CrossOrigin 註解以啟用 CORS（預設情況下，@CrossOrigin 允許所有來源以及 @RequestMapping 註解中指定的 HTTP 方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以為整個控制器啟用 CORS

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在此示例中，retrieve() 和 remove() 處理程式方法都啟用了 CORS 支援，您還可以看到如何使用 @CrossOrigin 屬性自定義 CORS 配置。

您甚至可以使用控制器級別和方法級別的 CORS 配置，Spring 將合併這兩個註解屬性以建立合併的 CORS 配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果您使用 Spring Security，請確保在 Spring Security 級別也啟用 CORS，以使其能夠利用 Spring MVC 級別定義的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全域性 CORS 配置

除了細粒度的、基於註解的配置之外，您可能還需要定義一些全域性 CORS 配置。這類似於使用過濾器，但可以在 Spring MVC 中宣告並與細粒度的 @CrossOrigin 配置結合使用。預設情況下，允許所有來源以及 GET、HEAD 和 POST 方法。

JavaConfig

為整個應用程式啟用 CORS 非常簡單，如下所示：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果您使用 Spring Boot，建議只需宣告一個 WebMvcConfigurer bean，如下所示：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以輕鬆更改任何屬性，以及僅將此 CORS 配置應用於特定的路徑模式

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果您使用 Spring Security，請確保在 Spring Security 級別也啟用 CORS，以使其能夠利用 Spring MVC 級別定義的配置。

XML 名稱空間

也可以使用 mvc XML 名稱空間配置 CORS。

此最小 XML 配置在 /** 路徑模式上啟用 CORS，具有與 JavaConfig 相同的預設屬性

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以宣告具有自定義屬性的多個 CORS 對映

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果您正在使用 Spring Security，請不要忘記在 Spring Security 級別也啟用 CORS

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

它是如何工作的？

CORS 請求（包括帶有 OPTIONS 方法的預檢請求）會自動分派到註冊的各種 HandlerMapping。它們透過 CorsProcessor 實現（預設為 DefaultCorsProcessor）處理 CORS 預檢請求並攔截 CORS 簡單和實際請求，以便新增相關的 CORS 響應頭（如 Access-Control-Allow-Origin）。CorsConfiguration 允許您指定如何處理 CORS 請求：允許的來源、頭、方法等。它可以透過多種方式提供

• AbstractHandlerMapping#setCorsConfiguration() 允許指定一個 Map，其中包含多個 CorsConfiguration 對映到路徑模式，例如 /api/**
• 子類可以透過重寫 AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest) 方法來提供自己的 CorsConfiguration
• 處理器可以實現 CorsConfigurationSource 介面（就像 ResourceHttpRequestHandler 現在所做的那樣），以便為每個請求提供 CorsConfiguration。

## 基於過濾器的 CORS 支援

作為上述其他方法的替代方案，Spring Framework 還提供了一個 CorsFilter。在這種情況下，您可以不使用 @CrossOrigin 或 WebMvcConfigurer#addCorsMappings(CorsRegistry)，例如在您的 Spring Boot 應用程式中宣告過濾器，如下所示：

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

瞭解更多

• 註冊參加2019 年 SpringOne Platform——使用 Spring 構建可擴充套件微服務應用程式的頂級會議。今年我們將於 10 月 7 日至 10 日在德克薩斯州奧斯汀舉行。使用折扣碼 S1P_Save200 節省您的門票費用。需要幫助說服您的經理嗎？使用此頁面。
• 獲取 Matt Stine 撰寫的免費電子書《遷移到雲原生應用架構》
• 此網路研討會討論了使用 Spring 和 Pivotal Cloud Foundry 保護微服務