注意:请务必阅读底部的更新。原始答案包括 CORS 筛选器的“惰性”实现
使用泽西岛,要处理 CORS,您只需使用 ContainerResponseFilter。泽西岛1.x和2.x有点不同。由于您没有提到您正在使用哪个版本,因此我将同时发布两者。确保使用正确的一个。ContainerResponseFilter
泽西岛 2.x
import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext request,
ContainerResponseContext response) throws IOException {
response.getHeaders().add("Access-Control-Allow-Origin", "*");
response.getHeaders().add("Access-Control-Allow-Headers",
"CSRF-Token, X-Requested-By, Authorization, Content-Type");
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
}
}
如果使用包扫描来发现提供程序和资源,则注释应为您处理配置。如果不是,则需要将其显式注册到 子类 或 子类。@ProviderResourceConfigApplication
使用 以下命令显式注册筛选器的示例代码:ResourceConfig
final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);
对于 Jersey 2.x,如果您在注册此筛选器时遇到问题,下面有几个资源可能会有所帮助
球衣 1.x
import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public ContainerResponse filter(ContainerRequest request,
ContainerResponse response) {
response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
response.getHttpHeaders().add("Access-Control-Allow-Headers",
"CSRF-Token, X-Requested-By, Authorization, Content-Type");
response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHttpHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
return response;
}
}
web.xml配置,您可以使用
<init-param>
<param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
<param-value>com.yourpackage.CORSFilter</param-value>
</init-param>
或者你可以做ResourceConfig
resourceConfig.getContainerResponseFilters().add(new CORSFilter());
或带有注释的包扫描。@Provider
编辑
请注意,上述示例可以改进。您需要了解有关 CORS 工作原理的更多信息。请参阅此处。首先,您将获得所有响应的标头。这可能不可取。您可能只需要处理印前检查(或 OPTIONS)。如果你想看到一个更好的实现的CORS过滤器,你可以查看RESTeasy CorsFilter的源代码
更新
所以我决定添加一个更正确的实现。上述实现是惰性的,并将所有 CORS 标头添加到所有请求中。另一个错误是,由于它只是一个响应过滤器,因此请求仍在处理中。这意味着当预检请求传入时,即 OPTIONS 请求,将不会实现 OPTIONS 方法,因此我们将得到 405 响应,这是不正确的。
以下是它应该如何工作。因此,有两种类型的 CORS 请求:简单请求和预检请求。对于简单的请求,浏览器将发送实际请求并添加请求标头。浏览器期望响应具有标头,并指出允许来自标头的源。为了将其视为“简单请求”,它必须满足以下条件:OriginAccess-Control-Allow-OriginOrigin
-
是以下方法之一:
-
除了浏览器自动设置的标头外,请求可能仅包含以下手动设置的标头:
AcceptAccept-LanguageContent-LanguageContent-TypeDPRSave-DataViewport-WidthWidth
-
内容类型标头唯一允许的值是:
application/x-www-form-urlencodedmultipart/form-datatext/plain
如果请求不满足所有这三个条件,则会发出“印前检查”请求。这是在发出实际请求之前向服务器发出的选项请求。它将包含不同的标头,服务器应使用自己的 CORS 响应标头响应这些标头。以下是匹配的标头:Access-Control-XX-XX
| 请求标头 |
响应标头 |
| 起源 |
访问控制-允许-源 |
| 访问控制-请求-标头 |
访问控制-允许-标头 |
| 访问控制-请求-方法 |
访问控制允许方法 |
| XHR.withCredentials |
访问控制-允许-凭据 |
-
使用请求标头时,该值将是源服务器域,响应应为相同的地址或指定允许所有源。OriginAccess-Control-Allow-Origin*
-
如果客户端尝试手动设置不在上述列表中的任何标头,则浏览器将设置标头,该值是客户端尝试设置的所有标头的列表。服务器应使用响应标头进行响应,该值是它允许的标头列表。Access-Control-Request-HeadersAccess-Control-Allow-Headers
-
浏览器还将设置请求标头,该值是请求的 HTTP 方法。服务器应使用响应标头进行响应,该值是它允许的方法的列表。Access-Control-Request-MethodAccess-Control-Allow-Methods
-
如果客户端使用 ,则服务器应使用响应标头进行响应,其值为 。在此处阅读更多内容。XHR.withCredentialsAccess-Control-Allow-Credentialstrue
因此,综上所述,这是一个更好的实现。尽管这比上面的实现更好,但它仍然不如我链接到的RESTEasy,因为这个实现仍然允许所有起源。但是,此筛选器在遵守 CORS 规范方面比上述筛选器做得更好,后者只是将 CORS 响应标头添加到所有请求中。请注意,您可能还需要修改 以匹配应用程序允许的标头;您可能希望在此示例中的列表中添加或删除一些标头。Access-Control-Allow-Headers
@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {
/**
* Method for ContainerRequestFilter.
*/
@Override
public void filter(ContainerRequestContext request) throws IOException {
// If it's a preflight request, we abort the request with
// a 200 status, and the CORS headers are added in the
// response filter method below.
if (isPreflightRequest(request)) {
request.abortWith(Response.ok().build());
return;
}
}
/**
* A preflight request is an OPTIONS request
* with an Origin header.
*/
private static boolean isPreflightRequest(ContainerRequestContext request) {
return request.getHeaderString("Origin") != null
&& request.getMethod().equalsIgnoreCase("OPTIONS");
}
/**
* Method for ContainerResponseFilter.
*/
@Override
public void filter(ContainerRequestContext request, ContainerResponseContext response)
throws IOException {
// if there is no Origin header, then it is not a
// cross origin request. We don't do anything.
if (request.getHeaderString("Origin") == null) {
return;
}
// If it is a preflight request, then we add all
// the CORS headers here.
if (isPreflightRequest(request)) {
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
response.getHeaders().add("Access-Control-Allow-Headers",
// Whatever other non-standard/safe headers (see list above)
// you want the client to be able to send to the server,
// put it in this list. And remove the ones you don't want.
"X-Requested-With, Authorization, " +
"Accept-Version, Content-MD5, CSRF-Token, Content-Type");
}
// Cross origin requests can be either simple requests
// or preflight request. We need to add this header
// to both type of requests. Only preflight requests
// need the previously added headers.
response.getHeaders().add("Access-Control-Allow-Origin", "*");
}
}
要了解有关CORS的更多信息,我建议阅读有关跨域资源共享(CORS)的MDN文档
