出于安全原因，浏览器禁止 AJAX 调用当前来源之外的资源。例如，当您在一个标签页中查看银行账户时，另一个标签页可能正在运行 evil.com 网站。来自 evil.com 的脚本不应能够使用您的凭据向您的银行 API 发出 AJAX 请求（从您的账户中提款！）。

跨域资源共享 (CORS) 是 W3C 规范，由大多数浏览器实现，它允许您以灵活的方式指定哪些类型的跨域请求是经过授权的，而不是使用 IFrame 或 JSONP 等安全性较低、功能较弱的“黑客”手段。

Spring Framework 4.2 GA 开箱即用地提供了一流的 CORS 支持，为您提供了比典型的基于过滤器的解决方案更简单、更强大的配置方式。

Spring MVC 提供了高级配置功能，如下所述。

控制器方法 CORS 配置

您可以在您的 @RequestMapping 注解处理程序方法上添加 @CrossOrigin 注解以启用 CORS（默认情况下，@CrossOrigin 允许所有来源以及 @RequestMapping 注解中指定的 HTTP 方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以为整个控制器启用 CORS

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在此示例中，retrieve() 和 remove() 处理程序方法都启用了 CORS 支持，您还可以看到如何使用 @CrossOrigin 属性自定义 CORS 配置。

您甚至可以使用控制器级别和方法级别的 CORS 配置，Spring 将合并这两个注解属性以创建合并的 CORS 配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果您使用 Spring Security，请确保在 Spring Security 级别也启用 CORS，以使其能够利用 Spring MVC 级别定义的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全局 CORS 配置

除了细粒度的、基于注解的配置之外，您可能还需要定义一些全局 CORS 配置。这类似于使用过滤器，但可以在 Spring MVC 中声明并与细粒度的 @CrossOrigin 配置结合使用。默认情况下，允许所有来源以及 GET、HEAD 和 POST 方法。

JavaConfig

为整个应用程序启用 CORS 非常简单，如下所示：

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果您使用 Spring Boot，建议只需声明一个 WebMvcConfigurer bean，如下所示：

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以轻松更改任何属性，以及仅将此 CORS 配置应用于特定的路径模式

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果您使用 Spring Security，请确保在 Spring Security 级别也启用 CORS，以使其能够利用 Spring MVC 级别定义的配置。

XML 命名空间

也可以使用 mvc XML 命名空间配置 CORS。

此最小 XML 配置在 /** 路径模式上启用 CORS，具有与 JavaConfig 相同的默认属性

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以声明具有自定义属性的多个 CORS 映射

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果您正在使用 Spring Security，请不要忘记在 Spring Security 级别也启用 CORS

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

它是如何工作的？

CORS 请求（包括带有 OPTIONS 方法的预检请求）会自动分派到注册的各种 HandlerMapping。它们通过 CorsProcessor 实现（默认为 DefaultCorsProcessor）处理 CORS 预检请求并拦截 CORS 简单和实际请求，以便添加相关的 CORS 响应头（如 Access-Control-Allow-Origin）。CorsConfiguration 允许您指定如何处理 CORS 请求：允许的来源、头、方法等。它可以通过多种方式提供

• AbstractHandlerMapping#setCorsConfiguration() 允许指定一个 Map，其中包含多个 CorsConfiguration 映射到路径模式，例如 /api/**
• 子类可以通过重写 AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest) 方法来提供自己的 CorsConfiguration
• 处理器可以实现 CorsConfigurationSource 接口（就像 ResourceHttpRequestHandler 现在所做的那样），以便为每个请求提供 CorsConfiguration。

## 基于过滤器的 CORS 支持

作为上述其他方法的替代方案，Spring Framework 还提供了一个 CorsFilter。在这种情况下，您可以不使用 @CrossOrigin 或 WebMvcConfigurer#addCorsMappings(CorsRegistry)，例如在您的 Spring Boot 应用程序中声明过滤器，如下所示：

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

了解更多

• 注册参加2019 年 SpringOne Platform——使用 Spring 构建可扩展微服务应用程序的顶级会议。今年我们将于 10 月 7 日至 10 日在德克萨斯州奥斯汀举行。使用折扣码 S1P_Save200 节省您的门票费用。需要帮助说服您的经理吗？使用此页面。
• 获取 Matt Stine 撰写的免费电子书《迁移到云原生应用架构》
• 此网络研讨会讨论了使用 Spring 和 Pivotal Cloud Foundry 保护微服务