请注意:请确保阅读底部的更新内容。原始答案包含一种“懒惰”的CORS过滤器实现。
使用Jersey,要处理CORS,您只需使用
ContainerResponseFilter
即可。Jersey 1.x和2.x的
ContainerResponseFilter
有些不同。由于您没有提到您使用的版本,我将发布两个版本。请确保使用正确的版本。
Jersey 2.x
import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext request,
ContainerResponseContext response) throws IOException {
response.getHeaders().add("Access-Control-Allow-Origin", "*");
response.getHeaders().add("Access-Control-Allow-Headers",
"CSRF-Token, X-Requested-By, Authorization, Content-Type");
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
}
}
如果您使用包扫描来发现提供程序和资源,则
@Provider
注释应该为您处理配置。如果没有,则需要在
ResourceConfig
或
Application
子类中显式注册它。
在
ResourceConfig
中显式注册过滤器的示例代码:
final ResourceConfig resourceConfig = new ResourceConfig()
resourceConfig.register(new CORSFilter())
final final URI uri = ...
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig)
对于Jersey 2.x,如果您在注册此过滤器时遇到问题,这里有一些可能会有所帮助的资源:
Jersey 1.x
import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public ContainerResponse filter(ContainerRequest request,
ContainerResponse response) {
response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
response.getHttpHeaders().add("Access-Control-Allow-Headers",
"CSRF-Token, X-Requested-By, Authorization, Content-Type");
response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHttpHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
return response;
}
}
web.xml配置,您可以使用
<init-param>
<param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
<param-value>com.yourpackage.CORSFilter</param-value>
</init-param>
或者
ResourceConfig
你可以这样做
resourceConfig.getContainerResponseFilters().add(new CORSFilter())
使用
@Provider
注解进行包扫描。
编辑
请注意,上面的示例可以改进。您需要更多了解CORS的工作原理。请参见这里。首先,您将获得所有响应的标头。这可能不是理想的。您可能只需要处理预检(或OPTIONS)。如果您想看到更好的实现CORS过滤器,您可以查看RESTeasy CorsFilter
的源代码。
更新
因此,我决定添加更正确的实现。上述实现是懒惰的,并将所有CORS标头添加到所有请求中。另一个错误是它只是一个响应过滤器,请求仍然在处理中。这意味着当预检请求(OPTIONS请求)进来时,将没有OPTIONS方法实现,因此我们将得到一个错误的405响应。
以下是它应该如何工作。因此,有两种类型的CORS请求:简单请求和预检请求。对于简单请求,浏览器将发送实际请求并添加Origin
请求头。浏览器期望响应具有Access-Control-Allow-Origin
标头,表示允许来自Origin
标头的源。为了被认为是“简单请求”,它必须满足以下条件:
- 必须是以下方法之一:
- 除了浏览器自动设置的标头外,请求只能包含以下手动设置的标头:
Accept
Accept-Language
Content-Language
Content-Type
DPR
Save-Data
Viewport-Width
Width
Content-Type
标头的唯一允许值为:
application/x-www-form-urlencoded
multipart/form-data
text/plain
如果请求不符合这三个标准之一,那么就会发出一个Preflight请求。这是在实际请求之前向服务器发送的OPTIONS请求。它将包含不同的Access-Control-XX-XX头信息,服务器应该用自己的CORS响应头信息来回应这些头信息。以下是匹配的头信息:
请求头信息 |
响应头信息 |
Origin |
Access-Control-Allow-Origin |
Access-Control-Request-Headers |
Access-Control-Allow-Headers |
Access-Control-Request-Method |
Access-Control-Allow-Methods |
XHR.withCredentials |
Access-Control-Allow-Credentials |
使用请求头Origin
,值将是原始服务器域名,响应Access-Control-Allow-Origin
应该是这个同样的地址或者*
来指定所有来源都被允许。
如果客户端尝试手动设置任何不在上述列表中的头,则浏览器将设置Access-Control-Request-Headers
头,其值是客户端尝试设置的所有头的列表。服务器应该回复一个Access-Control-Allow-Headers
响应头,其值是它允许的头的列表。
浏览器还将设置Access-Control-Request-Method
请求头,其值为请求的HTTP方法。服务器应该用Access-Control-Allow-Methods
响应头来回复,其值是它允许的方法的列表。
如果客户端使用了XHR.withCredentials
,那么服务器应该回复一个Access-Control-Allow-Credentials
响应头,其值为true
。阅读更多。
在此基础上,这里有更好的实现。虽然这个实现比之前的
更好,但仍不如我提供链接的
RESTEasy实现那样优秀,因为这个实现仍允许所有来源。但是,与以上过滤器只是将CORS响应头添加到所有请求不同,该过滤器更好地遵守了CORS规范。请注意,您可能还需要修改
Access-Control-Allow-Headers
以匹配应用程序允许的标头;您可能希望从此示例中添加或删除一些标头。
@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext request) throws IOException {
if (isPreflightRequest(request)) {
request.abortWith(Response.ok().build());
return;
}
}
private static boolean isPreflightRequest(ContainerRequestContext request) {
return request.getHeaderString("Origin") != null
&& request.getMethod().equalsIgnoreCase("OPTIONS");
}
@Override
public void filter(ContainerRequestContext request, ContainerResponseContext response)
throws IOException {
if (request.getHeaderString("Origin") == null) {
return;
}
if (isPreflightRequest(request)) {
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
response.getHeaders().add("Access-Control-Allow-Headers",
"X-Requested-With, Authorization, " +
"Accept-Version, Content-MD5, CSRF-Token, Content-Type");
}
response.getHeaders().add("Access-Control-Allow-Origin", "*");
}
}
如果想了解CORS,我建议阅读MDN关于跨源资源共享(CORS)的文档。