Автоматически добавлять заголовок к каждому ответу
Я хочу добавить этот заголовок "Access-Control-Allow-Origin", "*" к каждому ответу, сделанному клиенту каждый раз, когда в моем приложении был сделан запрос для контроллеров отдыха, чтобы разрешить совместное использование ресурсов из разных источников. В настоящее время я добавляю это вручную заголовок для каждого метода, как это
HttpHeaders headers = new HttpHeaders();
headers.add("Access-Control-Allow-Origin", "*");
Это работает, но это очень расстраивает. Я нашел webContentInterceptor в весенних документах, которые позволяют нам изменять заголовки при каждом ответе.
<mvc:interceptors>
<bean id="webContentInterceptor"
class="org.springframework.web.servlet.mvc.WebContentInterceptor">
<property name="Access-Control-Allow-Origin" value="*"/>
</bean>
</mvc:interceptors>
но когда я использую это, он выдает ошибку, что свойство не найдено с именем Access-Control-Allow-Origin, поэтому есть ли другой способ, которым мы можем автоматически добавлять заголовок к каждому ответу
Обновить! Spring Framework 4.2 значительно упрощает это, добавляя аннотацию @CrossOrigin либо к методу, либо к самому контроллеру https://spring.io/blog/2015/06/08/cors-support-in-spring-framework
7 ответов
Я недавно вошел в эту проблему и нашел это решение. Вы можете использовать фильтр для добавления этих заголовков:
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
public class CorsFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
response.addHeader("Access-Control-Allow-Origin", "*");
if (request.getHeader("Access-Control-Request-Method") != null
&& "OPTIONS".equals(request.getMethod())) {
// CORS "pre-flight" request
response.addHeader("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE");
response.addHeader("Access-Control-Allow-Headers",
"X-Requested-With,Origin,Content-Type, Accept");
}
filterChain.doFilter(request, response);
}
}
Не забудьте добавить фильтр в ваш весенний контекст:
<bean id="corsFilter" class="my.package.CorsFilter" />
и отображение в web.xml:
<filter>
<filter-name>corsFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>corsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Чтобы пойти немного дальше, вы можете указать профиль Spring, чтобы включить или отключить этот фильтр с чем-то вроде этого:
<beans profile="!cors">
<bean id="corsFilter" class="my.package.FilterChainDoFilter" />
</beans>
<beans profile="cors">
<bean id="corsFilter" class="my.package.CorsFilter" />
</beans>
(предоставляя FilterChainDoFilter, аналогичный CorsFilter, но который только filterChain.doFilter(request, response); в doFilterInternal(..))
Обновить! Spring Framework 4.2 значительно упрощает это, добавляя аннотацию @CrossOrigin либо к методу, либо к самому контроллеру https://spring.io/blog/2015/06/08/cors-support-in-spring-framework
Если вы хотите установить заголовки для контроллера, вы можете использовать @ModelAttribute аннотаций.
@ModelAttribute
public void setVaryResponseHeader(HttpServletResponse response) {
response.setHeader("Vary", "Accept");
}
В Spring 4 вы можете использовать @CrossOrigin(), который разрешает проблему перекрестного происхождения.
В целях безопасности браузеры запрещают вызовы AJAX ресурсам, находящимся за пределами текущего источника. Например, когда вы проверяете свой банковский счет на одной вкладке, у вас может быть сайт evil.com на другой вкладке. Скрипты с сайта evil.com не должны отправлять запросы AJAX на API вашего банка (снятие денег с вашего счета!) С использованием ваших учетных данных.
Распределение ресурсов между источниками (CORS) - это спецификация W3C, реализованная большинством браузеров, которая позволяет гибко указывать, какие типы запросов к нескольким доменам разрешаются, вместо использования менее защищенных и менее мощных хаков, таких как IFrame или JSONP.
Spring Framework 4.2 GA обеспечивает первоклассную поддержку CORS "из коробки", предоставляя вам более простой и мощный способ его настройки, чем типичные решения на основе фильтров.
Вы можете добавить аннотацию @CrossOrigin в свой аннотированный метод обработчика @RequestMapping, чтобы включить в нем CORS. По умолчанию @CrossOrigin разрешает все источники и методы HTTP, указанные в аннотации @RequestMapping:
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html
https://spring.io/guides/gs/rest-service-cors/
https://spring.io/blog/2015/06/08/cors-support-in-spring-framework
WebContentInterceptor не имеет свойства с именем Access-Control-Allow-Origin и, насколько я вижу, он не предоставляет никаких методов для установки заголовков ответа. Он устанавливает только некоторые заголовки, связанные с кешем, включая / отключая некоторые свойства. Но написать свой собственный перехватчик (или фильтр сервлета) тривиально.
Я также столкнулся с этой проблемой, и я добавил эту проблему исправлена.
public static HttpServletResponse getResponse(HttpServletResponse response) {
response.setHeader("Access-Control-Allow-Origin", "*");
response.setCharacterEncoding("UTF-8");
response.setHeader("Access-Control-Allow-Methods", "POST, GET");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
return response;
}
По сути, я столкнулся с блокировкой в браузере, потому что мой сервер Spring не сообщал браузеру, что делать (не добавлял «Разрешенные источники» в заголовок).
Итак, в SPRING CLOUD GATEWAY было решено следующее:
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CustomGlobalFilter implements GlobalFilter {
@Override
public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
exchange.getResponse().getHeaders().set("Access-Control-Allow-Origin", "*");
if (exchange.getResponse().getHeaders().getAccessControlRequestMethod() != null
&& "OPTIONS".equals(exchange.getResponse().getHeaders().getAccessControlRequestMethod())) {
// CORS "pre-flight" request
exchange.getResponse().getHeaders().set("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE");
exchange.getResponse().getHeaders().set("Access-Control-Allow-Headers",
"X-Requested-With,Origin,Content-Type,Accept");
}
return chain.filter(exchange);
}
}