基於安全考量，瀏覽器禁止 AJAX 呼叫至位於目前來源之外的資源。例如，當您在一個分頁中檢查您的銀行帳戶時，您可能在另一個分頁中開啟了 evil.com 網站。來自 evil.com 的腳本不應能夠使用您的憑證，對您的銀行 API 發出 AJAX 請求（從您的帳戶提款！）。

跨來源資源共享 (CORS) 是一個由W3C 規範定義，並由大多數瀏覽器實作的機制，讓您可以彈性地指定哪些類型的跨網域請求是允許的，而不是使用安全性較低且功能較弱的破解方法，如 IFrame 或 JSONP。

Spring Framework 4.2 GA 提供了開箱即用的 CORS 一級支援，讓您可以使用比典型的基於過濾器的解決方案更簡單且更強大的方式來配置它。

Spring MVC 提供了高階的配置設施，如下所述。

控制器方法 CORS 配置

您可以將 @CrossOrigin 註解新增到您的 @RequestMapping 註解處理方法，以便在其上啟用 CORS（預設情況下，@CrossOrigin 允許所有來源和在 @RequestMapping 註解中指定的 HTTP 方法）

@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

也可以為整個控制器啟用 CORS

@CrossOrigin(origins = "http://domain2.com", maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

在此範例中，CORS 支援已為 retrieve() 和 remove() 處理方法啟用，您也可以看到如何使用 @CrossOrigin 屬性自訂 CORS 配置。

您甚至可以使用控制器和方法層級的 CORS 配置，Spring 將結合這兩個註解屬性來建立合併的 CORS 配置。

@CrossOrigin(maxAge = 3600)
@RestController
@RequestMapping("/account")
public class AccountController {

	@CrossOrigin(origins = "http://domain2.com")
	@GetMapping("/{id}")
	public Account retrieve(@PathVariable Long id) {
		// ...
	}

	@DeleteMapping("/{id}")
	public void remove(@PathVariable Long id) {
		// ...
	}
}

如果您使用 Spring Security，請務必在 Spring Security 層級啟用 CORS，以便允許它利用在 Spring MVC 層級定義的配置。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.cors().and()...
	}
}

全域 CORS 配置

除了細粒度的、基於註解的配置之外，您可能還需要定義一些全域 CORS 配置。這類似於使用過濾器，但可以在 Spring MVC 中宣告，並與細粒度的 @CrossOrigin 配置結合使用。預設情況下，允許所有來源和 GET、HEAD 和 POST 方法。

JavaConfig

為整個應用程式啟用 CORS 就像這樣簡單

@Configuration
@EnableWebMvc
public class WebConfig extends WebMvcConfigurerAdapter {

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		registry.addMapping("/**");
	}
}

如果您正在使用 Spring Boot，建議您只需宣告一個 WebMvcConfigurer bean，如下所示

@Configuration
public class MyConfiguration {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**");
            }
        };
    }
}

您可以輕鬆地變更任何屬性，以及僅將此 CORS 配置應用於特定的路徑模式

@Override
public void addCorsMappings(CorsRegistry registry) {
	registry.addMapping("/api/**")
		.allowedOrigins("http://domain2.com")
		.allowedMethods("PUT", "DELETE")
			.allowedHeaders("header1", "header2", "header3")
		.exposedHeaders("header1", "header2")
		.allowCredentials(false).maxAge(3600);
}

如果您使用 Spring Security，請務必在 Spring Security 層級啟用 CORS，以便允許它利用在 Spring MVC 層級定義的配置。

XML 命名空間

也可以使用 mvc XML 命名空間來配置 CORS。

此最小的 XML 配置在 /** 路徑模式上啟用 CORS，並具有與 JavaConfig 相同的預設屬性

<mvc:cors>
	<mvc:mapping path="/**" />
</mvc:cors>

也可以宣告具有自訂屬性的多個 CORS 映射

<mvc:cors>

	<mvc:mapping path="/api/**"
		allowed-origins="http://domain1.com, http://domain2.com"
		allowed-methods="GET, PUT"
		allowed-headers="header1, header2, header3"
		exposed-headers="header1, header2" allow-credentials="false"
		max-age="123" />

	<mvc:mapping path="/resources/**"
		allowed-origins="http://domain1.com" />

</mvc:cors>

如果您使用 Spring Security，請不要忘記在 Spring Security 層級啟用 CORS

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

它是如何運作的？

CORS 請求（包含使用 OPTIONS 方法的 preflight 請求）會自動分派到已註冊的各種 HandlerMapping。它們會處理 CORS preflight 請求，並藉由 CorsProcessor 實作（預設情況下為 DefaultCorsProcessor）攔截 CORS simple 和實際請求，以便新增相關的 CORS 回應標頭（例如 Access-Control-Allow-Origin）。CorsConfiguration 讓您可以指定應如何處理 CORS 請求：允許的來源、標頭、方法等。它可以用多種方式提供

• AbstractHandlerMapping#setCorsConfiguration() 允許指定一個 Map，其中包含多個 CorsConfiguration 映射到路徑模式，例如 /api/**
• 子類別可以透過覆寫 AbstractHandlerMapping#getCorsConfiguration(Object, HttpServletRequest) 方法來提供自己的 CorsConfiguration
• 處理常式可以實作 CorsConfigurationSource 介面（例如 ResourceHttpRequestHandler 現在所做的）以便為每個請求提供 CorsConfiguration。

##基於過濾器的 CORS 支援

作為上述其他方法的替代方案，Spring Framework 也提供了一個 CorsFilter。在這種情況下，您可以例如在您的 Spring Boot 應用程式中宣告該過濾器如下，而不是使用 @CrossOrigin 或 WebMvcConfigurer#addCorsMappings(CorsRegistry)

@Configuration
public class MyConfiguration {

	@Bean
	public FilterRegistrationBean corsFilter() {
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		CorsConfiguration config = new CorsConfiguration();
		config.setAllowCredentials(true);
		config.addAllowedOrigin("http://domain1.com");
		config.addAllowedHeader("*");
		config.addAllowedMethod("*");
		source.registerCorsConfiguration("/**", config);
		FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
		bean.setOrder(0);
		return bean;
	}
}

瞭解更多

• 註冊 SpringOne Platform 2019 – 使用 Spring 構建可擴展微服務應用程式的首要會議。今年我們將於 10 月 7 日至 10 日在德州奧斯汀舉行。使用折扣碼 S1P_Save200 來節省您的門票費用。需要協助說服您的主管？使用 此頁面。
• 獲取免費電子書 遷移到雲原生應用程式架構 作者：Matt Stine
• 本次 網路研討會 討論了使用 Spring 和 Pivotal Cloud Foundry 保護微服務的安全