4.6 CORS支持

CORS（Cross-Origin Resource Sharing）是由W3C制定的一种跨域资源共享技术标准，其目的就是为了解决前端的跨域请求。在Java EE开发中，最常见的前端跨域请求解决方案是JSONP，但是JSONP只支持GET请求，这是一个很大的缺陷，而CORS则支持多种HTTP请求方法。以CORS中的GET请求为例，当浏览器发起请求时，请求头中携带了如下信息：

假如服务端支持CORS，则服务端给出的响应信息如下：

以DELETE请求为例，当前端发起一个DELETE请求时，这个请求的处理会经过两个步骤。

第一步：发送一个OPTIONS请求。代码如下：

这个请求将向服务端询问是否具备该资源的DELETE权限，服务端会给浏览器一个响应，代码如下：

服务端给浏览器的响应，Allow头信息表示服务端支持的请求方法，这个请求相当于一个探测请求，当浏览器分析了请求头字段之后，知道服务端支持本次请求，则进入第二步。

第二步：发送DELETE请求。接下来浏览器就会发送一个跨域的DELETE请求，代码如下：

服务端给一个响应：

至此，一个跨域的DELETE请求完成。

无论是简单请求还是需要先进行探测的请求，前端的写法都是不变的，额外的处理都是在服务端来完成的。在传统的Java EE开发中，可以通过过滤器统一配置，而Spring Boot中对此则提供了更加简洁的解决方案。在Spring Boot中配置CORS的步骤如下：

1. 创建Spring Boot工程

首先创建一个Spring Boot工程，添加Web依赖，代码如下：

2. 创建控制器

在新创建的Spring Boot工程中，添加一个BookController控制器，代码如下：

BookController中提供了两个接口：一个是添加接口，另一个是删除接口。

3. 配置跨域

跨域有两个地方可以配置。一个是直接在相应的请求方法上加注解：

代码解释：

• @CrossOrigin中的value表示支持的域，这里表示来自http://localhost:8081域的请求是支持跨域的。

• maxAge表示探测请求的有效期，在前面的讲解中，读者已经了解到对于DELETE、PUT请求或者有自定义头信息的请求，在执行过程中会先发送探测请求，探测请求不用每次都发送，可以配置一个有效期，有效期过了之后才会发送探测请求。这个属性默认是1800秒，即30分钟。

• allowedHeaders表示允许的请求头，*表示所有的请求头都被允许。

这种配置方式是一种细粒度的配置，可以控制到每一个方法上。当然，也可以不在每个方法上添加@CrossOrigin注解，而是采用一种全局配置，代码如下：

代码解释：

• 全局配置需要自定义类实现WebMvcConfigurer接口，然后实现接口中的addCorsMappings方法。

• 在addCorsMappings方法中，addMapping表示对哪种格式的请求路径进行跨域处理；allowedHeaders表示允许的请求头，默认允许所有的请求头信息；allowedMethods表示允许的请求方法，默认是GET、POST和HEAD；*表示支持所有的请求方法；maxAge表示探测请求的有效期；allowedOrigins表示支持的域。

在上面的两种配置方式（@CrossOrigin注解配置和全局配置）中，选择其中一种即可，然后启动项目。

4. 测试

新建一个Spring Boot项目，添加Web依赖，然后在resources/static目录下加入jquery.js，再在resources/static目录下创建一个index.html文件，内容如下：

两个普通的Ajax都发送了一个跨域请求。

然后将项目的端口修改为8081，代码如下：

启动项目，在浏览器中输入“http://localhost:8081/index.html”，查看页面，然后分别单击两个按钮，查看请求结果，如图4-24所示。