Spring 自动向每个响应添加标题
每当我的应用程序中请求rest控制器以允许跨源资源共享时,我想将这个标题“Access Control Allow Origin”和“*”添加到客户端的每个响应中。目前,我正在手动将这个标题添加到像这样的每个方法中Spring 自动向每个响应添加标题,spring,spring-mvc,cors,response-headers,Spring,Spring Mvc,Cors,Response Headers,每当我的应用程序中请求rest控制器以允许跨源资源共享时,我想将这个标题“Access Control Allow Origin”和“*”添加到客户端的每个响应中。目前,我正在手动将这个标题添加到像这样的每个方法中 HttpHeaders headers = new HttpHeaders(); headers.add("Access-Control-Allow-Origin", "*"); 这很有效,但很令人沮丧。我在spring文档中找到WebContent Interceptor,它允许
HttpHeaders headers = new HttpHeaders();
headers.add("Access-Control-Allow-Origin", "*");
这很有效,但很令人沮丧。我在spring文档中找到WebContent Interceptor,它允许我们修改每个响应的标题
<mvc:interceptors>
<bean id="webContentInterceptor"
class="org.springframework.web.servlet.mvc.WebContentInterceptor">
<property name="Access-Control-Allow-Origin" value="*"/>
</bean>
</mvc:interceptors>
但当我使用它时,它会抛出一个错误,即名称访问控制的属性not found Allow Origin,那么是否有其他方法可以自动将头添加到每个响应中
更新!Spring framework 4.2通过向方法或控制器本身添加@CrossOrigin注释大大简化了这一点没有名为
访问控制允许原点的属性
,并且据我所见,它没有公开任何设置响应头的方法。它仅通过启用/禁用某些属性来设置一些与缓存相关的头。但是编写自己的拦截器(或servlet过滤器)来实现这一点并不重要。我最近研究了这个问题并找到了这个解决方案。
您可以使用筛选器添加以下标题:
import java.io.IOException;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
public class CorsFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
response.addHeader("Access-Control-Allow-Origin", "*");
if (request.getHeader("Access-Control-Request-Method") != null
&& "OPTIONS".equals(request.getMethod())) {
// CORS "pre-flight" request
response.addHeader("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE");
response.addHeader("Access-Control-Allow-Headers",
"X-Requested-With,Origin,Content-Type, Accept");
}
filterChain.doFilter(request, response);
}
}
不要忘记将过滤器添加到spring上下文中:
<bean id="corsFilter" class="my.package.CorsFilter" />
以及web.xml中的映射:
<filter>
<filter-name>corsFilter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>corsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
克斯菲尔特
org.springframework.web.filter.DelegatingFilterProxy
克斯菲尔特
/*
要更进一步,您可以指定一个Spring配置文件来启用或禁用此过滤器,如下所示:
<beans profile="!cors">
<bean id="corsFilter" class="my.package.FilterChainDoFilter" />
</beans>
<beans profile="cors">
<bean id="corsFilter" class="my.package.CorsFilter" />
</beans>
(提供与CorsFilter类似的FilterChainDoFilter,但它只执行doFilterInternal(..)中的
filterChain.doFilter(请求、响应);
)如果要为控制器设置标题,可以使用@ModelAttribute
注释
@ModelAttribute
public void setVaryResponseHeader(HttpServletResponse response) {
response.setHeader("Vary", "Accept");
}
我也面临这个问题,我已经添加了这个代码问题修复
public static HttpServletResponse getResponse(HttpServletResponse response) {
response.setHeader("Access-Control-Allow-Origin", "*");
response.setCharacterEncoding("UTF-8");
response.setHeader("Access-Control-Allow-Methods", "POST, GET");
response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
return response;
}
更新!SpringFramework4.2通过向方法或控制器本身添加@CrossOrigin注释,大大简化了这一过程
在Spring 4中,您可以使用@CrossOrigin() 这允许您解决跨来源问题 出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个选项卡中检查您的银行帐户时,您可以在另一个选项卡中查看evil.com网站。来自evil.com的脚本不应该能够使用您的凭据向您的银行API发出AJAX请求(从您的帐户中取款!) 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,它允许您以灵活的方式指定授权的跨域请求类型,而不是使用一些不太安全和功能不太强大的黑客,如IFrame或JSONP SpringFramework4.2GA为CORS提供了开箱即用的一流支持,与典型的基于过滤器的解决方案相比,它提供了一种更简单、更强大的配置方式 您可以将@CrossOrigin注释添加到@RequestMapping注释处理程序方法中,以便在其上启用CORS。默认情况下,@CrossOrigin允许@RequestMapping注释中指定的所有源和HTTP方法:
@RestController
@RequestMapping("/account")
public class AccountController {
@CrossOrigin
@RequestMapping("/{id}")
public Account retrieve(@PathVariable Long id) {
// ...
}
@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")
public void remove(@PathVariable Long id) {
// ...
}
}
未调用我的筛选器:(我使用的Spring Security以这种方式使用过滤器,我已经在web.xml中配置了DelegatingFilterProxy。有什么建议吗?@Benny DelegatingFilterProxy只是一个包装过滤器的代理,所以在我看来,它不能“已经注册”,因为您可以拥有任意数量的过滤器。请尝试添加另一个具有正确名称的代理。)(在我的示例corsFilter中)。为什么在web.xml中使用DelegatingFilterProxy?它对我不起作用。只有当我将CorsFilterWorked设置为charm时,它才起作用。谢谢