如何使用 JAX-RS 和 Jersey 处理 CORS

Posted

技术标签:

【中文标题】如何使用 JAX-RS 和 Jersey 处理 CORS【英文标题】:How to handle CORS using JAX-RS with Jersey 【发布时间】:2016-08-20 05:26:07 【问题描述】:

我正在开发一个 java 脚本客户端应用程序,在服务器端我需要处理 CORS,我用 JERSEY 用 JAX-RS 编写的所有服务。 我的代码:

@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception   
     //my code. Edited by gimbal2 to fix formatting
     return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();

截至目前,我收到错误请求的资源上不存在“Access-Control-Allow-Origin”标头。因此不允许访问 Origin 'http://localhost:8080'。”

请帮助我。

感谢和问候 佛普涅斯

【问题讨论】:

仅供参考,我使用的是 jax-rs jersey 2,我需要允许对我的 RestApi 的所有请求。 ***.com/questions/24386712/tomcat-cors-filter,Krizka 的回答帮助我轻松解决了我的问题,因为我在我的 tomcat 目录(apache tomcat 8)中配置了 web.xml。正在使用 Angular 6 向我的 api 发出请求。 【参考方案1】:

注意:请务必阅读底部的更新。原始答案包括 CORS 过滤器的“惰性”实现

使用 Jersey,要处理 CORS,您只需使用 ContainerResponseFilter。 Jersey 1.x 和 2.x 的 ContainerResponseFilter 有点不同。由于您没有提到您使用的是哪个版本,所以我将两者都发布。确保使用正确的。

球衣 2.x

import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter 

    @Override
    public void filter(ContainerRequestContext request,
            ContainerResponseContext response) throws IOException 
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    

如果您使用包扫描来发现提供程序和资源,@Provider 注释应该为您处理配置。如果没有,那么您将需要使用ResourceConfigApplication 子类显式注册它。

使用ResourceConfig 显式注册过滤器的示例代码:

final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);

对于 Jersey 2.x,如果您在注册此过滤器时遇到问题,这里有一些资源可能会有所帮助

Registering Resources and Providers in Jersey 2 What exactly is the ResourceConfig class in Jersey 2?

球衣 1.x

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter 
    @Override
    public ContainerResponse filter(ContainerRequest request,
            ContainerResponse response) 

        response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");

        return response;
    

web.xml配置,可以使用

<init-param>
  <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
  <param-value>com.yourpackage.CORSFilter</param-value>
</init-param>

或者ResourceConfig你可以做

resourceConfig.getContainerResponseFilters().add(new CORSFilter());

或者使用@Provider注解进行包扫描。


编辑

请注意,上面的例子可以改进。您将需要更多地了解 CORS 的工作原理。请参阅here。一方面,您将获得所有响应的标题。这可能是不可取的。您可能只需要处理预检(或选项)。如果你想看到一个更好的实现 CORS 过滤器,你可以查看RESTeasy CorsFilter的源代码


更新

所以我决定添加一个更正确的实现。上面的实现是惰性的,并将所有 CORS 标头添加到所有请求中。另一个错误是它只是一个 response 过滤器,因此请求仍在处理中。这意味着当 preflight 请求进来时,也就是一个 OPTIONS 请求,不会有任何 OPTIONS 方法实现,所以我们会得到一个 405 响应,这是不正确的。

这是它应该的工作方式。所以CORS请求有两种类型:简单请求和preflight requests。对于一个简单的请求,浏览器将发送实际请求并添加Origin 请求头。浏览器期望响应具有Access-Control-Allow-Origin 标头,表示允许来自Origin 标头的来源。为了使其被视为“简单请求”,它必须满足以下条件:

是以下方法之一: 获取 头 发布 除了浏览器自动设置的headers外,请求可能只包含以下手动设置的headers: Accept Accept-Language Content-Language Content-Type DPR Save-Data Viewport-Width Width Content-Type 标头的唯一允许值是: application/x-www-form-urlencoded multipart/form-data text/plain

如果请求不满足所有这三个条件,则会发出预检请求。这是向服务器发出的 OPTIONS 请求,实际发出的请求之前。它将包含不同的 Access-Control-XX-XX 标头,并且服务器应该使用自己的 CORS 响应标头响应这些标头。以下是匹配的标题:

REQUEST HEADER RESPONSE HEADER
Origin Access-Control-Allow-Origin
Access-Control-Request-Headers Access-Control-Allow-Headers
Access-Control-Request-Method Access-Control-Allow-Methods
XHR.withCredentials Access-Control-Allow-Credentials

使用Origin 请求标头,值将是源服务器域,响应Access-Control-Allow-Origin 应该是同一地址或* 以指定允许所有源。

如果客户端尝试手动设置任何不在上述列表中的标头,则浏览器将设置 Access-Control-Request-Headers 标头,其值是客户端尝试设置的所有标头的列表。服务器应该返回一个 Access-Control-Allow-Headers 响应标头,其值是它允许的标头列表。

浏览器也会设置Access-Control-Request-Method请求头,其值为请求的HTTP方法。服务器应使用Access-Control-Allow-Methods 响应标头进行响应,其值是它允许的方法列表。

如果客户端使用XHR.withCredentials,则服务器应使用Access-Control-Allow-Credentials 响应标头进行响应,其值为true。 Read more here.

综上所述,这里有一个更好的实现。尽管这比上面的实现更好,它仍然不如我链接到的RESTEasy one,因为这个实现仍然允许所有来源。但是这个过滤器在遵守 CORS 规范方面比上面的过滤器做得更好,上面的过滤器只是将 CORS 响应标头添加到所有请求中。请注意,您可能还需要修改 Access-Control-Allow-Headers 以匹配您的应用程序允许的标头;您可能希望在此示例中从列表中添加或删除一些标题。

@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter 

    /**
     * Method for ContainerRequestFilter.
     */
    @Override
    public void filter(ContainerRequestContext request) throws IOException 

        // If it's a preflight request, we abort the request with
        // a 200 status, and the CORS headers are added in the
        // response filter method below.
        if (isPreflightRequest(request)) 
            request.abortWith(Response.ok().build());
            return;
        
    

    /**
     * A preflight request is an OPTIONS request
     * with an Origin header.
     */
    private static boolean isPreflightRequest(ContainerRequestContext request) 
        return request.getHeaderString("Origin") != null
                && request.getMethod().equalsIgnoreCase("OPTIONS");
    

    /**
     * Method for ContainerResponseFilter.
     */
    @Override
    public void filter(ContainerRequestContext request, ContainerResponseContext response)
            throws IOException 

        // if there is no Origin header, then it is not a
        // cross origin request. We don't do anything.
        if (request.getHeaderString("Origin") == null) 
            return;
        

        // If it is a preflight request, then we add all
        // the CORS headers here.
        if (isPreflightRequest(request)) 
            response.getHeaders().add("Access-Control-Allow-Credentials", "true");
            response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
            response.getHeaders().add("Access-Control-Allow-Headers",
                // Whatever other non-standard/safe headers (see list above) 
                // you want the client to be able to send to the server,
                // put it in this list. And remove the ones you don't want.
                "X-Requested-With, Authorization, " +
                "Accept-Version, Content-MD5, CSRF-Token, Content-Type");
        

        // Cross origin requests can be either simple requests
        // or preflight request. We need to add this header
        // to both type of requests. Only preflight requests
        // need the previously added headers.
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
    

要了解有关 CORS 的更多信息,我建议阅读 Cross-Origin Resource Sharing (CORS) 上的 MDN 文档

【讨论】:

如何获得ResourceConfig的实例?? 我应该把这门课放在哪里? 刚刚提到***.com/a/17345463/3757139 说,您必须将过滤器类注册/添加到您加载的球衣应用程序的类中。这帮助我完成了这项工作。 你需要有这个import import javax.ws.rs.ext.Provider; 感谢 Paul Samsotha 分享完整的解决方案,尤其是更新!这是唯一的解决方案,特别是检查对我有用的预取标头和 PreMatching 注释。没有其他进口,只有 JAX-RS !【参考方案2】:

删除注释“@CrossOriginResourceSharing(allowAllOrigins = true)

然后返回响应如下:

return Response.ok()
               .entity(jsonResponse)
               .header("Access-Control-Allow-Origin", "*")
               .build();

jsonResponse 应该替换为 POJO 对象!

【讨论】:

这仅适用于“简单”的 cors 请求,不适用于预检请求。请参阅the update in this answer 了解其中的区别。【参考方案3】:

另一个答案可能完全正确,但具有误导性。缺少的部分是您可以将来自不同来源的过滤器混合在一起。即使认为 Jersey 可能不提供 CORS 过滤器(不是我检查过的事实,但我相信其他答案),您可以使用 tomcat's own CORS filter。

我在泽西岛成功地使用了它。我有自己的基本身份验证过滤器实现,例如,连同 CORS。最重要的是,CORS 过滤器是在 Web XML 中配置的,而不是在代码中。

【讨论】:

感谢您的回答。我能够使用它并使用包含 CORS 过滤器的替换 web.xml 配置嵌入式 tomcat【参考方案4】:

peeskillet 的回答是正确的。但是刷新网页时出现此错误(仅在第一次加载时有效):

The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Origin 'http://127.0.0.1:8080' is therefore not allowed access.

所以我没有使用 add 方法来添加响应头,而是使用 put 方法。这是我的课

public class MCORSFilter implements ContainerResponseFilter 
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN = "Access-Control-Allow-Origin";
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN_VALUE = "*";

    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS = "Access-Control-Allow-Credentials";
    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE = "true";

    public static final String ACCESS_CONTROL_ALLOW_HEADERS = "Access-Control-Allow-Headers";
    public static final String ACCESS_CONTROL_ALLOW_HEADERS_VALUE = "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With, Accept";

    public static final String ACCESS_CONTROL_ALLOW_METHODS = "Access-Control-Allow-Methods";
    public static final String ACCESS_CONTROL_ALLOW_METHODS_VALUE = "GET, POST, PUT, DELETE, OPTIONS, HEAD";

    public static final String[] ALL_HEADERs = 
            ACCESS_CONTROL_ALLOW_ORIGIN,
            ACCESS_CONTROL_ALLOW_CREDENTIALS,
            ACCESS_CONTROL_ALLOW_HEADERS,
            ACCESS_CONTROL_ALLOW_METHODS
    ;
    public static final String[] ALL_HEADER_VALUEs = 
            ACCESS_CONTROL_ALLOW_ORIGIN_VALUE,
            ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE,
            ACCESS_CONTROL_ALLOW_HEADERS_VALUE,
            ACCESS_CONTROL_ALLOW_METHODS_VALUE
    ;
    @Override
    public ContainerResponse filter(ContainerRequest request, ContainerResponse response) 
        for (int i = 0; i < ALL_HEADERs.length; i++) 
            ArrayList<Object> value = new ArrayList<>();
            value.add(ALL_HEADER_VALUEs[i]);
            response.getHttpHeaders().put(ALL_HEADERs[i], value); //using put method
        
        return response;
    

并将该类添加到 web.xml 中的 init-param

<init-param>
            <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
            <param-value>com.yourpackage.MCORSFilter</param-value>
        </init-param>

【讨论】:

【参考方案5】:

为了为我的项目解决这个问题,我使用了Micheal's 答案并得出了这个结论:

    <plugin>
        <groupId>org.apache.tomcat.maven</groupId>
        <artifactId>tomcat7-maven-plugin</artifactId>
        <version>2.2</version>
        <executions>
            <execution>
                <id>run-embedded</id>
                <goals>
                    <goal>run</goal>
                </goals>
                <phase>pre-integration-test</phase>
                <configuration>
                    <port>$maven.tomcat.port</port>
                    <useSeparateTomcatClassLoader>true</useSeparateTomcatClassLoader>
                    <contextFile>$project.basedir/tomcat/context.xml</contextFile>
                    <!--enable CORS for development purposes only. The web.xml file specified is a copy of
                        the auto generated web.xml with the additional CORS filter added -->
                    <tomcatWebXml>$maven.tomcat.web-xml.file</tomcatWebXml>
                </configuration>
            </execution>
        </executions>
    </plugin>

CORS 过滤器是来自the tomcat site. 的基本示例过滤器编辑ma​​ven.tomcat.web-xml.file 变量是项目的 pom 定义属性,它包含 web.xml 文件的路径(位于我的项目中)

【讨论】:

以上是关于如何使用 JAX-RS 和 Jersey 处理 CORS的主要内容,如果未能解决你的问题,请参考以下文章

你能用 JAX-RS/Jersey 做传统的 Servlet 过滤吗?

Jersey 框架如何在 REST 中实现 JAX-RS API?

如何使用JAX-RS和Jersey在Adobe AEM 6.2中发布json数据

为啥使用 JAX-RS / Jersey?

如何在 Tomcat 上的 JAX-RS (Jersey) 中返回 HTTP 404 JSON/XML 响应?

JAX-RS Jersey 读取内容类型为“*”的实体