出于安全原因，浏览器禁止 AJAX 调用位于当前源之外的资源。例如，当你在一个标签页中查看银行账户时，另一个标签页可能是 evil.com 网站。evil.com 的脚本不应该能够使用你的凭据向你的银行 API 发起 AJAX 请求（从你的账户中提取资金！）。

跨域资源共享 (CORS) 是一个 W3C 规范，由 大多数浏览器 实现，它允许你以灵活的方式指定哪些跨域请求是授权的，而不是使用一些不太安全且功能较弱的技巧，如 IFrame 或 JSONP。

Spring Framework 4.2 GA 开箱即用地提供了 一流的 CORS 支持，为你提供了比典型的 基于过滤器的 解决方案更容易、更强大的配置方式。

Spring MVC 提供了高级配置功能，详见下文。

Controller 方法的 CORS 配置

你可以在 @RequestMapping 注解的 handler 方法上添加 @CrossOrigin 注解来启用该方法的 CORS 支持（默认情况下，@CrossOrigin 允许所有源和 @RequestMapping 注解中指定的 HTTP 方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以为整个 controller 启用 CORS

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在此示例中，retrieve() 和 remove() 这两个 handler 方法都启用了 CORS 支持，你还可以看到如何使用 @CrossOrigin 属性自定义 CORS 配置。

你甚至可以同时使用 controller 级别和方法级别的 CORS 配置，Spring 会合并这两个注解属性来创建一个组合的 CORS 配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果你正在使用 Spring Security，请确保同时在 Spring Security 级别启用 CORS，以便它能够利用在 Spring MVC 级别定义的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全局 CORS 配置

除了细粒度的、基于注解的配置之外，你可能还需要定义一些全局 CORS 配置。这类似于使用过滤器，但可以在 Spring MVC 中声明，并与细粒度的 @CrossOrigin 配置相结合。默认情况下，允许所有源以及 GET、HEAD 和 POST 方法。

JavaConfig

为整个应用启用 CORS 非常简单，如下所示：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果你正在使用 Spring Boot，建议直接声明一个 WebMvcConfigurer bean，如下所示：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

你可以轻松更改任何属性，也可以仅将此 CORS 配置应用于特定的路径模式。

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果你正在使用 Spring Security，请确保同时在 Spring Security 级别启用 CORS，以便它能够利用在 Spring MVC 级别定义的配置。

XML 命名空间

也可以使用 mvc XML 命名空间 配置 CORS。

这个最小的 XML 配置在 /** 路径模式上启用 CORS，其默认属性与 JavaConfig 相同。

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以声明多个具有自定义属性的 CORS 映射。

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果你正在使用 Spring Security，请不要忘记同时在 Spring Security 级别启用 CORS。

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

工作原理

CORS 请求（包括使用 OPTIONS 方法的预检请求）会自动分派给注册的各种 HandlerMapping。它们通过 CorsProcessor 实现（默认为 DefaultCorsProcessor）来处理 CORS 预检请求并拦截 CORS 简单请求和实际请求，以便添加相关的 CORS 响应头（如 Access-Control-Allow-Origin）。CorsConfiguration 允许你指定如何处理 CORS 请求：允许的源、请求头、方法等。它可以通过多种方式提供：

• AbstractHandlerMapping#setCorsConfiguration() 允许指定一个 Map，其中包含多个 CorsConfiguration，映射到诸如 /api/** 之类的路径模式上。
• 子类可以通过重写 AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest) 方法来提供自己的 CorsConfiguration。
• Handlers 可以实现 CorsConfigurationSource 接口（例如 ResourceHttpRequestHandler 现在就是这样做的），以便为每个请求提供一个 CorsConfiguration。

##基于过滤器的 CORS 支持

作为上述其他方法的替代方案，Spring Framework 还提供了一个 CorsFilter。在这种情况下，你可以在 Spring Boot 应用中通过声明如下过滤器来替代使用 @CrossOrigin 或 WebMvcConfigurer#addCorsMappings(CorsRegistry)：

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

了解更多

• 报名参加 SpringOne Platform 2019 – 使用 Spring 构建可伸缩微服务应用的顶级大会。今年大会将于 10 月 7 日至 10 日在德克萨斯州奥斯汀举行。使用折扣码 S1P_Save200 节省门票费用。需要帮助说服你的经理？请使用 此页面。
• 获取 Matt Stine 撰写的免费电子书 Migrating to Cloud-Native Application Architectures
• 这个 网络研讨会 讨论了如何使用 Spring 和 Pivotal Cloud Foundry 保护微服务安全。