logo标签列表

如何使用JAX-RS和Jersey处理CORS

javarestjerseyjax-rscors
82

我正在开发一个JavaScript客户端应用程序,在服务器端需要处理CORS,我所有的服务都是用JAX-RS和JERSEY编写的。

我的代码:

@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception {  
     //my code. Edited by gimbal2 to fix formatting
     return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();
}

截至目前,我遇到了错误“请求的资源上不存在'Access-Control-Allow-Origin'头部。因此,不允许来自'http://localhost:8080'的源访问。”

请协助解决这个问题。

谢谢 & 致意 Buddha Puneeth

1
只是提供信息,我正在使用jax-rs jersey 2,并且需要允许我的RestApi的所有请求。https://dev59.com/K2Af5IYBdhLWcg3wsUXT ,Krizka的答案帮助我轻松解决了问题,因为我在我的tomcat目录(apache tomcat 8)中配置了web.xml。我正在使用angular 6向我的api发出请求。 - Akshay Kulkarni
6个回答
190
请注意:请确保阅读底部的更新内容。原始答案包含一种“懒惰”的CORS过滤器实现。
使用Jersey,要处理CORS,您只需使用ContainerResponseFilter即可。Jersey 1.x和2.x的ContainerResponseFilter有些不同。由于您没有提到您使用的版本,我将发布两个版本。请确保使用正确的版本。

Jersey 2.x

import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext request,
            ContainerResponseContext response) throws IOException {
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

如果您使用包扫描来发现提供程序和资源,则@Provider注释应该为您处理配置。如果没有,则需要在ResourceConfigApplication子类中显式注册它。
ResourceConfig中显式注册过滤器的示例代码:
final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);

对于Jersey 2.x,如果您在注册此过滤器时遇到问题,这里有一些可能会有所帮助的资源:

Jersey 1.x

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {
    @Override
    public ContainerResponse filter(ContainerRequest request,
            ContainerResponse response) {

        response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");

        return response;
    }
}

web.xml配置,您可以使用

<init-param>
  <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
  <param-value>com.yourpackage.CORSFilter</param-value>
</init-param>

或者ResourceConfig你可以这样做
resourceConfig.getContainerResponseFilters().add(new CORSFilter());

使用@Provider注解进行包扫描。

编辑

请注意,上面的示例可以改进。您需要更多了解CORS的工作原理。请参见这里。首先,您将获得所有响应的标头。这可能不是理想的。您可能只需要处理预检(或OPTIONS)。如果您想看到更好的实现CORS过滤器,您可以查看RESTeasy CorsFilter的源代码。

更新

因此,我决定添加更正确的实现。上述实现是懒惰的,并将所有CORS标头添加到所有请求中。另一个错误是它只是一个响应过滤器,请求仍然在处理中。这意味着当预检请求(OPTIONS请求)进来时,将没有OPTIONS方法实现,因此我们将得到一个错误的405响应。

以下是它应该如何工作。因此,有两种类型的CORS请求:简单请求和预检请求。对于简单请求,浏览器将发送实际请求并添加Origin请求头。浏览器期望响应具有Access-Control-Allow-Origin标头,表示允许来自Origin标头的源。为了被认为是“简单请求”,它必须满足以下条件:

  • 必须是以下方法之一:
    • GET
    • HEAD
    • POST
  • 除了浏览器自动设置的标头外,请求只能包含以下手动设置的标头:
    • Accept
    • Accept-Language
    • Content-Language
    • Content-Type
    • DPR
    • Save-Data
    • Viewport-Width
    • Width
  • Content-Type 标头的唯一允许值为:
    • application/x-www-form-urlencoded
    • multipart/form-data
    • text/plain
如果请求不符合这三个标准之一,那么就会发出一个Preflight请求。这是在实际请求之前向服务器发送的OPTIONS请求。它将包含不同的Access-Control-XX-XX头信息,服务器应该用自己的CORS响应头信息来回应这些头信息。以下是匹配的头信息:
请求头信息 响应头信息
Origin Access-Control-Allow-Origin
Access-Control-Request-Headers Access-Control-Allow-Headers
Access-Control-Request-Method Access-Control-Allow-Methods
XHR.withCredentials Access-Control-Allow-Credentials

  • 使用请求头Origin,值将是原始服务器域名,响应Access-Control-Allow-Origin应该是这个同样的地址或者*来指定所有来源都被允许。

  • 如果客户端尝试手动设置任何不在上述列表中的头,则浏览器将设置Access-Control-Request-Headers头,其值是客户端尝试设置的所有头的列表。服务器应该回复一个Access-Control-Allow-Headers响应头,其值是它允许的头的列表。

  • 浏览器还将设置Access-Control-Request-Method请求头,其值为请求的HTTP方法。服务器应该用Access-Control-Allow-Methods响应头来回复,其值是它允许的方法的列表。

  • 如果客户端使用了XHR.withCredentials,那么服务器应该回复一个Access-Control-Allow-Credentials响应头,其值为true阅读更多

在此基础上,这里有更好的实现。虽然这个实现比之前的更好,但仍不如我提供链接的RESTEasy实现那样优秀,因为这个实现仍允许所有来源。但是,与以上过滤器只是将CORS响应头添加到所有请求不同,该过滤器更好地遵守了CORS规范。请注意,您可能还需要修改Access-Control-Allow-Headers以匹配应用程序允许的标头;您可能希望从此示例中添加或删除一些标头。
@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {

    /**
     * Method for ContainerRequestFilter.
     */
    @Override
    public void filter(ContainerRequestContext request) throws IOException {

        // If it's a preflight request, we abort the request with
        // a 200 status, and the CORS headers are added in the
        // response filter method below.
        if (isPreflightRequest(request)) {
            request.abortWith(Response.ok().build());
            return;
        }
    }

    /**
     * A preflight request is an OPTIONS request
     * with an Origin header.
     */
    private static boolean isPreflightRequest(ContainerRequestContext request) {
        return request.getHeaderString("Origin") != null
                && request.getMethod().equalsIgnoreCase("OPTIONS");
    }

    /**
     * Method for ContainerResponseFilter.
     */
    @Override
    public void filter(ContainerRequestContext request, ContainerResponseContext response)
            throws IOException {

        // if there is no Origin header, then it is not a
        // cross origin request. We don't do anything.
        if (request.getHeaderString("Origin") == null) {
            return;
        }

        // If it is a preflight request, then we add all
        // the CORS headers here.
        if (isPreflightRequest(request)) {
            response.getHeaders().add("Access-Control-Allow-Credentials", "true");
            response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
            response.getHeaders().add("Access-Control-Allow-Headers",
                // Whatever other non-standard/safe headers (see list above) 
                // you want the client to be able to send to the server,
                // put it in this list. And remove the ones you don't want.
                "X-Requested-With, Authorization, " +
                "Accept-Version, Content-MD5, CSRF-Token, Content-Type");
        }

        // Cross origin requests can be either simple requests
        // or preflight request. We need to add this header
        // to both type of requests. Only preflight requests
        // need the previously added headers.
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
    }
}

如果想了解CORS,我建议阅读MDN关于跨源资源共享(CORS)的文档。

1
如何获得ResourceConfig的实例? - SomethingSomething
3
我应该把这个类放在哪里? - suhail c
1
只是提一下 https://dev59.com/r2Qm5IYBdhLWcg3w2R1J#17345463 上说,你必须将过滤器类注册/添加到 jersey 应用程序的加载类中。这帮助我使其正常工作。 - Samuel
1
你需要添加这个import:import javax.ws.rs.ext.Provider; - Gayan Kavirathne
1
感谢Paul Samsotha分享完整的解决方案,尤其是更新!这是唯一的解决方案,特别是对于我而言,它检查了预取头和PreMatching注释。没有其他导入,只有JAX-RS! - Mahesh
显示剩余5条评论
10

移除注解 "@CrossOriginResourceSharing(allowAllOrigins = true)"

然后返回以下响应:

return Response.ok()
               .entity(jsonResponse)
               .header("Access-Control-Allow-Origin", "*")
               .build();

但是jsonResponse应该替换为一个POJO对象!

4
这仅适用于“简单”的CORS请求,而不是预检请求。请查看此答案中的更新以了解其区别。 - Paul Samsotha
6
另一个答案可能是严格正确的,但会误导。遗漏的一部分是您可以混合使用来自不同来源的过滤器。即使 Jersey 可能不提供 CORS 过滤器(这不是我检查过的事实,但我相信其他答案),您仍然可以使用 tomcat 的 CORS 过滤器

我正在与 Jersey 成功使用它。例如,我有自己的基本身份验证过滤器实现,与 CORS 一起使用。最重要的是,CORS 过滤器在 web XML 中配置,而不是在代码中。

谢谢您的回答。我已经成功使用它,并配置了嵌入式Tomcat,其中包括CORS过滤器的替换web.xml文件。 - Dark Star1
嘿@DarkStar1,你能否在这里发布你的配置信息。我需要用它来嵌入Tomcat。 - skr
@skr,虽然很久以前了,但是我的回答在页面底部。 - Dark Star1
2

peeskillet的答案是正确的。但是当我刷新网页时,出现了以下错误(仅在第一次加载时有效):

The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Origin 'http://127.0.0.1:8080' is therefore not allowed access.

所以,我使用put方法而不是add方法来添加响应头。这是我的类:

public class MCORSFilter implements ContainerResponseFilter {
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN = "Access-Control-Allow-Origin";
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN_VALUE = "*";

    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS = "Access-Control-Allow-Credentials";
    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE = "true";

    public static final String ACCESS_CONTROL_ALLOW_HEADERS = "Access-Control-Allow-Headers";
    public static final String ACCESS_CONTROL_ALLOW_HEADERS_VALUE = "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With, Accept";

    public static final String ACCESS_CONTROL_ALLOW_METHODS = "Access-Control-Allow-Methods";
    public static final String ACCESS_CONTROL_ALLOW_METHODS_VALUE = "GET, POST, PUT, DELETE, OPTIONS, HEAD";

    public static final String[] ALL_HEADERs = {
            ACCESS_CONTROL_ALLOW_ORIGIN,
            ACCESS_CONTROL_ALLOW_CREDENTIALS,
            ACCESS_CONTROL_ALLOW_HEADERS,
            ACCESS_CONTROL_ALLOW_METHODS
    };
    public static final String[] ALL_HEADER_VALUEs = {
            ACCESS_CONTROL_ALLOW_ORIGIN_VALUE,
            ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE,
            ACCESS_CONTROL_ALLOW_HEADERS_VALUE,
            ACCESS_CONTROL_ALLOW_METHODS_VALUE
    };
    @Override
    public ContainerResponse filter(ContainerRequest request, ContainerResponse response) {
        for (int i = 0; i < ALL_HEADERs.length; i++) {
            ArrayList<Object> value = new ArrayList<>();
            value.add(ALL_HEADER_VALUEs[i]);
            response.getHttpHeaders().put(ALL_HEADERs[i], value); //using put method
        }
        return response;
    }
}

将此类添加到web.xml中的init-param中。
<init-param>
            <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
            <param-value>com.yourpackage.MCORSFilter</param-value>
        </init-param>
1
为了解决我的项目问题,我使用了Micheal's的答案,并得到了以下结果:
    <plugin>
        <groupId>org.apache.tomcat.maven</groupId>
        <artifactId>tomcat7-maven-plugin</artifactId>
        <version>2.2</version>
        <executions>
            <execution>
                <id>run-embedded</id>
                <goals>
                    <goal>run</goal>
                </goals>
                <phase>pre-integration-test</phase>
                <configuration>
                    <port>${maven.tomcat.port}</port>
                    <useSeparateTomcatClassLoader>true</useSeparateTomcatClassLoader>
                    <contextFile>${project.basedir}/tomcat/context.xml</contextFile>
                    <!--enable CORS for development purposes only. The web.xml file specified is a copy of
                        the auto generated web.xml with the additional CORS filter added -->
                    <tomcatWebXml>${maven.tomcat.web-xml.file}</tomcatWebXml>
                </configuration>
            </execution>
        </executions>
    </plugin>

跨源资源共享(CORS)过滤器是Tomcat网站的基本示例过滤器。

编辑:
maven.tomcat.web-xml.file变量是项目中定义的POM属性,它包含web.xml文件的路径(位于我的项目内部)。

0

对于多个源域名:

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;


@Provider
public class CorsFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) {

        final String domain = generateAllowOrigin(requestContext);

        responseContext.getHeaders().add("Access-Control-Allow-Origin", domain);
        responseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");
        responseContext.getHeaders().add("Access-Control-Allow-Headers", "origin, content-type, accept, authorization");
        responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }

    private static String generateAllowOrigin(ContainerRequestContext requestContext) {
        String caller = requestContext.getHeaderString("Origin");
        final String domain;
        if (caller != null && caller.contains("localhost:4141")) {
            domain = "http://localhost:4141";
        } else {
            domain = "https://example.com";
        }
        return domain;
    }
}
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接