如何使用JAX-RS和Jersey处理CORS

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何使用JAX-RS和Jersey处理CORS相关的知识,希望对你有一定的参考价值。

我正在开发一个java脚本客户端应用程序,在服务器端我需要处理CORS,我用JERSEY在JAX-RS中编写的所有服务。我的代码:

@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception {  
     //my code. Edited by gimbal2 to fix formatting
     return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();
}

截至目前,我收到错误没有'Access-Control-Allow-Origin'标头出现在请求的资源上。因此,'http://localhost:8080'原产地不允许进入。“

请帮助我。

感谢和问候佛Puneeth

答案

注意:请务必阅读底部的更新

@CrossOriginResourceSharing是一个CXF注释,所以它不适用于泽西岛。

使用泽西岛来处理CORS,我通常只使用ContainerResponseFilter。泽西岛1和2的ContainerResponseFilter有点不同。既然你还没有提到你正在使用哪个版本,我会发布两个版本。

泽西2

import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext request,
            ContainerResponseContext response) throws IOException {
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

如果您使用包扫描来发现提供者和资源,@Provider注释应该为您处理配置。如果没有,那么您将需要使用ResourceConfigApplication子类显式注册它。

使用ResourceConfig显式注册过滤器的示例代码:

final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);

对于Jersey 2.x,如果您在注册此过滤器时遇到问题,可以使用以下几种资源

泽西岛1

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

public class CORSFilter implements ContainerResponseFilter {
    @Override
    public ContainerResponse filter(ContainerRequest request,
            ContainerResponse response) {

        response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "origin, content-type, accept, authorization");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");

        return response;
    }
}

web.xml配置,你可以使用

<init-param>
  <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
  <param-value>com.yourpackage.CORSFilter</param-value>
</init-param>

或者你可以做ResourceConfig

resourceConfig.getContainerResponseFilters().add(new CORSFilter());

或使用@Provider注释打包扫描。


编辑

请注意,上面的例子可以改进。您需要了解有关CORS如何工作的更多信息。请参阅here。首先,您将获得所有回复的标题。这可能是不可取的。您可能只需要处理预检(或OPTIONS)。如果您想查看更好的CORS过滤器,可以查看RESTeasy CorsFilter的源代码


UPDATE

所以我决定添加一个更正确的实现。上面的实现是惰性的,并将所有CORS头添加到所有请求中。另一个错误是,它只是一个响应过滤器,请求仍然是进程。这意味着当预检请求进入时,这是一个OPTIONS请求,将没有实现OPTIONS方法,因此我们将得到405响应,这是不正确的。

这是它应该如何工作。因此有两种类型的CORS请求:简单请求和preflight requests。对于简单的请求,浏览器将发送实际请求并添加Origin请求标头。浏览器期望响应具有Access-Control-Allow-Origin标头,表示允许来自Origin标头的原点。为了将其视为“简单请求”,它必须符合以下标准:

  • 是以下方法之一: 得到 头 POST
  • 除了浏览器自动设置的标头外,该请求可能只包含以下手动设置的标头: Accept Accept-Language Content-Language Content-Type DPR Save-Data Viewport-Width Width
  • Content-Type标头唯一允许的值是: application/x-www-form-urlencoded multipart/form-data text/plain

如果请求不符合所有这三个标准,则会发出预检请求。这是在发出实际请求之前对服务器发出的OPTIONS请求。它将包含不同的Access-Control-XX-XX头,服务器应该使用自己的CORS响应头响应这些头。以下是匹配的标题:

                 Preflight Request and Response Headers
+-----------------------------------+--------------------------------------+
|  REQUEST HEADER                   |  RESPONSE HEADER                     |
+===================================+======================================+
|  Origin                           |  Access-Control-Allow-Origin         |
+-----------------------------------+--------------------------------------+
|  Access-Control-Request-Headers   |  Access-Control-Allow-Headers        |
+-----------------------------------+--------------------------------------+
|  Access-Control-Request-Method    |  Access-Control-Allow-Methods        |
+-----------------------------------+--------------------------------------+
|  XHR.withCredentials              |  Access-Control-Allow-Credentials    |
+-----------------------------------+--------------------------------------+
  • 使用Origin请求标头,该值将是原始服务器域,响应Access-Control-Allow-Header应该是相同的地址或*,以指定允许所有源。
  • 如果客户端尝试手动设置不在上面列表中的任何标头,则浏览器将设置Access-Control-Request-Headers标头,其值为客户端尝试设置的所有标头的列表。服务器应该使用Access-Control-Allow-Headers响应头回应,其值是它允许的头列表。
  • 浏览器还将设置Access-Control-Request-Method请求标头,其值为请求的HTTP方法。服务器应该使用Access-Control-Allow-Methods响应头响应,值是它允许的方法列表。
  • 如果客户端使用XHR.withCredentials,那么服务器应该使用Access-Control-Allow-Credentials响应头响应,值为trueRead more here

所以尽管如此,这是一个更好的实现。即使这比上面的实现更好,它仍然不如我链接的RESTEasy one,因为这个实现仍然允许所有的起源。但是这个过滤器比上面的过滤器更好地遵守CORS规范,而过滤器只是将CORS响应头添加到所有请求中。请注意,您可能还需要修改Access-Control-Allow-Headers以匹配应用程序允许的标头;您可能希望在此示例中添加或删除列表中的某些标头。

@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {

    /**
     * Method for ContainerRequestFilter.
     */
    @Override
    public void filter(ContainerRequestContext request) throws IOException {

        // If it's a preflight request, we abort the request with
        // a 200 status, and the CORS headers are added in the
        // response filter method below.
        if (isPreflightRequest(request)) {
            request.abortWith(Response.ok().build());
            return;
        }
    }

    /**
     * A preflight request is an OPTIONS request
     * with an Origin header.
     */
    private static boolean isPreflightRequest(ContainerRequestContext request) {
        return request.getHeaderString("Origin") != null
                &

以上是关于如何使用JAX-RS和Jersey处理CORS的主要内容,如果未能解决你的问题,请参考以下文章

Jax-rs -jersey 跨域请求启用

Jersey 框架如何在 REST 中实现 JAX-RS API?

如何在 Tomcat 上的 JAX-RS (Jersey) 中返回 HTTP 404 JSON/XML 响应?

如何使用JAX-RS和Jersey在Adobe AEM 6.2中发布json数据

为啥使用 JAX-RS / Jersey?

你能用 JAX-RS/Jersey 做传统的 Servlet 过滤吗?