java - 如何使用 JAX-RS 和 Jersey 处理 CORS

Question

我正在开发一个java脚本客户端应用程序，在服务器端我需要处理CORS，我用JERSEY在JAX-RS中编写的所有服务。
我的代码:

@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception {  
     //my code. Edited by gimbal2 to fix formatting
     return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();
}

截至目前，我收到错误请求的资源上不存在“Access-Control-Allow-Origin” header 。起源' http://localhost:8080 '因此不允许访问。”

请帮我解决这个问题。

感谢和问候
佛陀

Answer 1

Note: Make sure to read the UPDATE at the bottom. The original answer includes a "lazy" implementation of the CORS filter

使用 Jersey 来处理 CORS，您可以只使用 ContainerResponseFilter 。 Jersey 1.x 和 2.x 的 ContainerResponseFilter 有点不同。由于您还没有提到您使用的是哪个版本，我将同时发布两个版本。确保使用正确的。
Jersey 2.x

import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext request,
            ContainerResponseContext response) throws IOException {
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

如果您使用包扫描来发现提供者和资源，那么 @Provider 注释应该为您处理配置。如果没有，那么您需要使用 ResourceConfig 或 Application 子类显式注册它。
使用 ResourceConfig 显式注册过滤器的示例代码:

final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);

For Jersey 2.x, if you are having problems registering this filter, here are a couple resources that might help

• Registering Resources and Providers in Jersey 2
• What exactly is the ResourceConfig class in Jersey 2?

Jersey 1.x

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {
    @Override
    public ContainerResponse filter(ContainerRequest request,
            ContainerResponse response) {

        response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");

        return response;
    }
}

web.xml 配置，可以使用

<init-param>
  <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
  <param-value>com.yourpackage.CORSFilter</param-value>
</init-param>

或者 ResourceConfig 你可以做

resourceConfig.getContainerResponseFilters().add(new CORSFilter());

或者使用 @Provider 注释进行包扫描。

编辑
请注意，上面的例子可以改进。您将需要更多地了解 CORS 的工作原理。请参阅 here 。一方面，您将获得所有响应的标题。这可能是不可取的。您可能只需要处理预检(或选项)。如果你想看到一个更好实现的 CORS 过滤器，你可以查看 RESTeasy CorsFilter 的源代码

更新
所以我决定添加一个更正确的实现。上面的实现是惰性的，并将所有 CORS header 添加到所有请求中。另一个错误是它只是一个响应过滤器，请求仍在处理中。这意味着当 preflight 请求进来时，它是一个 OPTIONS 请求，不会有 OPTIONS 方法实现，所以我们会得到 405 响应，这是不正确的。
这是它应该如何工作。所以有两种类型的 CORS 请求:简单请求和 preflight requests 。对于简单的请求，浏览器将发送实际请求并添加 Origin 请求头。浏览器期望响应具有 Access-Control-Allow-Origin header ，表示允许来自 Origin header 的来源。为了使其被视为“简单请求”，它必须满足以下标准:

是以下方法之一:

获取

头

POST

除了浏览器自动设置的headers，请求中可能只包含以下手动设置的headers:

Accept

Accept-Language

Content-Language

Content-Type

DPR

Save-Data

Viewport-Width

Width

Content-Type header 的唯一允许值是:

application/x-www-form-urlencoded

multipart/form-data

text/plain

如果请求不满足所有这三个标准，则会发出预检请求。这是在发出实际请求之前向服务器发出的 OPTIONS 请求。它将包含不同的 Access-Control-XX-XX header ，服务器应使用自己的 CORS 响应 header 响应这些 header 。以下是匹配的 header :


请求头
响应头


产地
访问控制允许来源

访问控制请求头
访问控制允许标题

访问控制请求方法
访问控制允许方法

XHR.withCredentials
访问控制允许凭据

使用 Origin 请求头，该值将是源服务器域，并且响应 Access-Control-Allow-Origin 应该是相同的地址或 * 以指定允许所有源。

如果客户端尝试手动设置不在上述列表中的任何 header ，则浏览器将设置 Access-Control-Request-Headers header ，其值是客户端尝试设置的所有 header 的列表。服务器应该使用 Access-Control-Allow-Headers 响应头进行响应，其值是它允许的头列表。

浏览器也会设置 Access-Control-Request-Method 请求头，值为请求的 HTTP 方法。服务器应该使用 Access-Control-Allow-Methods 响应头进行响应，其值是它允许的方法列表。

如果客户端使用 XHR.withCredentials ，则服务器应使用 Access-Control-Allow-Credentials 响应 header 进行响应，其值为 true 。 Read more here 。

综上所述，这里有一个更好的实现。尽管这比上面的实现更好，但它仍然不如我链接到的 RESTEasy one，因为这个实现仍然允许所有来源。但是这个过滤器在遵守 CORS 规范方面做得比上面的过滤器更好，后者只是将 CORS 响应 header 添加到所有请求中。请注意，您可能还需要修改 Access-Control-Allow-Headers 以匹配您的应用程序允许的 header ；在此示例中，您可能希望从列表中添加或删除一些标题。

@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {

    /**
     * Method for ContainerRequestFilter.
     */
    @Override
    public void filter(ContainerRequestContext request) throws IOException {

        // If it's a preflight request, we abort the request with
        // a 200 status, and the CORS headers are added in the
        // response filter method below.
        if (isPreflightRequest(request)) {
            request.abortWith(Response.ok().build());
            return;
        }
    }

    /**
     * A preflight request is an OPTIONS request
     * with an Origin header.
     */
    private static boolean isPreflightRequest(ContainerRequestContext request) {
        return request.getHeaderString("Origin") != null
                && request.getMethod().equalsIgnoreCase("OPTIONS");
    }

    /**
     * Method for ContainerResponseFilter.
     */
    @Override
    public void filter(ContainerRequestContext request, ContainerResponseContext response)
            throws IOException {

        // if there is no Origin header, then it is not a
        // cross origin request. We don't do anything.
        if (request.getHeaderString("Origin") == null) {
            return;
        }

        // If it is a preflight request, then we add all
        // the CORS headers here.
        if (isPreflightRequest(request)) {
            response.getHeaders().add("Access-Control-Allow-Credentials", "true");
            response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
            response.getHeaders().add("Access-Control-Allow-Headers",
                // Whatever other non-standard/safe headers (see list above) 
                // you want the client to be able to send to the server,
                // put it in this list. And remove the ones you don't want.
                "X-Requested-With, Authorization, " +
                "Accept-Version, Content-MD5, CSRF-Token, Content-Type");
        }

        // Cross origin requests can be either simple requests
        // or preflight request. We need to add this header
        // to both type of requests. Only preflight requests
        // need the previously added headers.
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
    }
}

要了解有关 CORS 的更多信息，我建议阅读 Cross-Origin Resource Sharing (CORS) 上的 MDN 文档