出于安全原因，浏览器禁止对位于当前来源外部的资源进行AJAX调用。例如，当您在一个选项卡中检查您的银行账户时，您可能在另一个选项卡中打开了evil.com网站。来自evil.com的脚本不应该能够使用您的凭据对您的银行API（从您的账户中提取资金！）发出AJAX请求。

跨源资源共享 (CORS) 是一个由W3C规范定义并被大多数浏览器实现的机制，它允许您灵活地指定哪些类型的跨域请求是授权的，而不是使用一些安全性较低且功能较弱的hack，例如IFrame或JSONP。

Spring Framework 4.2 GA 提供了一流的CORS支持，这为您提供了一种比基于过滤器的典型解决方案更容易且更强大的配置方式。

Spring MVC 提供了高级配置功能，如下所述。

控制器方法CORS配置

您可以向您的@RequestMapping注解的处理器方法中添加一个@CrossOrigin注解，以便在其上启用CORS（默认情况下，@CrossOrigin允许所有来源和@RequestMapping注解中指定的HTTP方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以为整个控制器启用CORS。

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在这个例子中，CORS支持同时启用retrieve()和remove()处理程序方法，您还可以看到如何使用@CrossOrigin属性自定义CORS配置。

您甚至可以使用控制器和方法级别的CORS配置，Spring会将两个注解属性组合起来创建一个合并的CORS配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果您使用的是Spring Security，请确保也在Spring Security级别启用CORS，以允许它利用在Spring MVC级别定义的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全局CORS配置

除了细粒度的基于注解的配置之外，您可能还需要定义一些全局CORS配置。这类似于使用过滤器，但是可以在Spring MVC中声明，并与细粒度的@CrossOrigin配置结合使用。默认情况下，允许所有来源和GET、HEAD和POST方法。

JavaConfig

为整个应用程序启用CORS非常简单：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果您使用的是Spring Boot，建议您声明一个WebMvcConfigurer bean，如下所示：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以轻松更改任何属性，以及仅将此CORS配置应用于特定路径模式。

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果您使用的是Spring Security，请确保也在Spring Security级别启用CORS，以允许它利用在Spring MVC级别定义的配置。

XML命名空间

也可以使用mvc XML命名空间配置CORS。

此最小的XML配置在/**路径模式上启用CORS，其默认属性与JavaConfig相同。

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以声明多个具有自定义属性的CORS映射。

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果您使用的是Spring Security，请不要忘记也在Spring Security级别启用CORS。

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

它是如何工作的？

CORS请求（包括使用OPTIONS方法的预检请求）会自动分派到已注册的各种HandlerMapping。它们处理CORS预检请求并拦截CORS简单请求和实际请求，这要感谢一个CorsProcessor实现（默认情况下为DefaultCorsProcessor），以便添加相关的CORS响应头（如Access-Control-Allow-Origin）。CorsConfiguration允许您指定如何处理CORS请求：允许的来源、头、方法等。它可以通过多种方式提供。

• AbstractHandlerMapping#setCorsConfiguration()允许指定一个包含多个CorsConfiguration的Map，这些配置映射到像/api/**这样的路径模式上。
• 子类可以通过覆盖AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest)方法来提供自己的CorsConfiguration。
• 处理程序可以实现CorsConfigurationSource接口（例如ResourceHttpRequestHandler现在就是这样做的），以便为每个请求提供一个CorsConfiguration。

##基于过滤器的CORS支持

作为上述其他方法的替代方案，Spring Framework还提供了一个CorsFilter。在这种情况下，您可以例如在Spring Boot应用程序中声明过滤器，而不是使用@CrossOrigin或WebMvcConfigurer#addCorsMappings(CorsRegistry)。

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

了解更多

• 注册参加SpringOne Platform 2019——使用Spring构建可扩展微服务应用程序的顶级会议。今年，我们将在10月7日至10日于德克萨斯州奥斯汀举行。使用折扣码**S1P_Save200**节省门票费用。需要帮助说服您的经理吗？请使用此页面。
• 获取免费电子书迁移到云原生架构，作者Matt Stine。
• 此网络研讨会讨论了使用Spring和Pivotal Cloud Foundry保护微服务。