如何使用带有Jersey的JAX-RS处理CORS

Question 1

我正在开发一个Java脚本客户端应用程序，在服务器端我需要处理CORS，以及我用JERSEY用JAX-RS编写的所有服务。我的代码：

@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception {  
     //my code. Edited by gimbal2 to fix formatting
     return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();
}

到目前为止，我收到错误消息请求的资源上没有“ Access-Control-Allow-Origin”标头。因此，不允许访问源' http：// localhost：8080 '。”

请协助我。

谢谢与问候普涅斯

Question 2

注意：请务必阅读底部的UPDATE

@CrossOriginResourceSharing 是CXF批注，因此不适用于Jersey。

对于Jersey，要处理CORS，我通常只需使用即可ContainerResponseFilter。所述ContainerResponseFilter用于泽西1和2是有点不同。由于您没有提到您使用的是哪个版本，因此我将同时发布两者。

球衣2

import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext request,
            ContainerResponseContext response) throws IOException {
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

如果使用包扫描来发现提供者和资源，则@Provider注释应为您进行配置。如果不是，那么您将需要在ResourceConfig或Application子类中显式注册它。

使用以下代码显式注册过滤器的示例代码ResourceConfig：

final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);

对于Jersey 2.x，如果在注册此过滤器时遇到问题，这里有一些资源可能会有所帮助

在Jersey 2中注册资源和提供者

泽西岛2中的ResourceConfig类到底是什么？

球衣1

import com.sun.jersey.spi.container.ContainerRequest;
import com.sun.jersey.spi.container.ContainerResponse;
import com.sun.jersey.spi.container.ContainerResponseFilter;

@Provider
public class CORSFilter implements ContainerResponseFilter {
    @Override
    public ContainerResponse filter(ContainerRequest request,
            ContainerResponse response) {

        response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
        response.getHttpHeaders().add("Access-Control-Allow-Headers",
                "CSRF-Token, X-Requested-By, Authorization, Content-Type");
        response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHttpHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");

        return response;
    }
}

web.xml配置，可以使用

<init-param>
  <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
  <param-value>com.yourpackage.CORSFilter</param-value>
</init-param>

或者ResourceConfig你可以做

resourceConfig.getContainerResponseFilters().add(new CORSFilter());

或使用@Provider注释打包扫描。

编辑

请注意，上面的示例可以改进。您将需要更多地了解CORS的工作原理。请看这里。首先，您将获得所有响应的标题。这可能不是理想的。您可能只需要处理印前检查（或选项）。如果您想查看实现更好的CORS过滤器，可以查看RESTeasy的源代码。CorsFilter

更新

因此，我决定添加一个更正确的实现。上面的实现是惰性的，并将所有CORS标头添加到所有请求中。另一个错误是，由于它只是一个响应筛选器，因此请求仍在处理中。这意味着，当预检请求进入时（这是一个OPTIONS请求），将没有实现OPTIONS方法，因此我们将得到405响应，这是不正确的。

这是它应该如何工作的。因此，有两种类型的CORS请求：简单请求和预检请求。对于简单的请求，浏览器将发送实际请求并添加Origin请求标头。浏览器期望响应具有Access-Control-Allow-Origin标头，说Origin允许标头的来源。为了将其视为“简单请求”，它必须满足以下条件：

是以下方法之一：
- 得到
- 头
- 开机自检
除了浏览器自动设置的标题外，该请求可能仅包含以下手动设置的标题：
- Accept
- Accept-Language
- Content-Language
- Content-Type
- DPR
- Save-Data
- Viewport-Width
- Width
Content-Type标头唯一允许的值为：
- application/x-www-form-urlencoded
- multipart/form-data
- text/plain

如果请求不满足所有这三个条件，则发出预检请求。这是在发出实际请求之前向服务器发出的OPTIONS请求。它将包含不同的Access-Control-XX-XX标头，并且服务器应使用自己的CORS响应标头来响应那些标头。以下是匹配的标头：

                 Preflight Request and Response Headers
+-----------------------------------+--------------------------------------+
|  REQUEST HEADER                   |  RESPONSE HEADER                     |
+===================================+======================================+
|  Origin                           |  Access-Control-Allow-Origin         |
+-----------------------------------+--------------------------------------+
|  Access-Control-Request-Headers   |  Access-Control-Allow-Headers        |
+-----------------------------------+--------------------------------------+
|  Access-Control-Request-Method    |  Access-Control-Allow-Methods        |
+-----------------------------------+--------------------------------------+
|  XHR.withCredentials              |  Access-Control-Allow-Credentials    |
+-----------------------------------+--------------------------------------+

使用Origin请求标头，该值将是源服务器域，并且响应Access-Control-Allow-Origin应为该相同地址或*指定允许所有源。
如果客户端尝试手动设置不在上述列表中的任何标头，则浏览器将设置Access-Control-Request-Headers标头，该值是客户端尝试设置的所有标头的列表。服务器应使用Access-Control-Allow-Headers响应标头进行响应，该值是其允许的标头列表。
浏览器还将设置Access-Control-Request-Method请求标头，其值为请求的HTTP方法。服务器应使用Access-Control-Allow-Methods响应头进行响应，其值是其允许的方法的列表。
如果客户端使用XHR.withCredentials，则服务器应使用Access-Control-Allow-Credentials响应标头响应，其值为true。在这里阅读更多。

综上所述，这是一个更好的实现。尽管这比上面的实现要好，但它仍然不如我所链接的RESTEasy，因为此实现仍然允许所有来源。但是，与上述仅向所有请求添加CORS响应标头的过滤器相比，此过滤器在遵守CORS规范方面做得更好。请注意，您可能还需要修改，Access-Control-Allow-Headers以匹配您的应用程序允许的标头；在此示例中，您可能想要o从列表中添加或删除一些标头。

@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {

    /**
     * Method for ContainerRequestFilter.
     */
    @Override
    public void filter(ContainerRequestContext request) throws IOException {

        // If it's a preflight request, we abort the request with
        // a 200 status, and the CORS headers are added in the
        // response filter method below.
        if (isPreflightRequest(request)) {
            request.abortWith(Response.ok().build());
            return;
        }
    }

    /**
     * A preflight request is an OPTIONS request
     * with an Origin header.
     */
    private static boolean isPreflightRequest(ContainerRequestContext request) {
        return request.getHeaderString("Origin") != null
                && request.getMethod().equalsIgnoreCase("OPTIONS");
    }

    /**
     * Method for ContainerResponseFilter.
     */
    @Override
    public void filter(ContainerRequestContext request, ContainerResponseContext response)
            throws IOException {

        // if there is no Origin header, then it is not a
        // cross origin request. We don't do anything.
        if (request.getHeaderString("Origin") == null) {
            return;
        }

        // If it is a preflight request, then we add all
        // the CORS headers here.
        if (isPreflightRequest(request)) {
            response.getHeaders().add("Access-Control-Allow-Credentials", "true");
            response.getHeaders().add("Access-Control-Allow-Methods",
                "GET, POST, PUT, DELETE, OPTIONS, HEAD");
            response.getHeaders().add("Access-Control-Allow-Headers",
                // Whatever other non-standard/safe headers (see list above) 
                // you want the client to be able to send to the server,
                // put it in this list. And remove the ones you don't want.
                "X-Requested-With, Authorization, " +
                "Accept-Version, Content-MD5, CSRF-Token, Content-Type");
        }

        // Cross origin requests can be either simple requests
        // or preflight request. We need to add this header
        // to both type of requests. Only preflight requests
        // need the previously added headers.
        response.getHeaders().add("Access-Control-Allow-Origin", "*");
    }
}

要了解有关CORS的更多信息，建议阅读有关跨域资源共享（CORS）的MDN文档

Question 3

删除注释“ @CrossOriginResourceSharing(allowAllOrigins = true)”

然后返回如下响应：

return Response.ok()
               .entity(jsonResponse)
               .header("Access-Control-Allow-Origin", "*")
               .build();

但是jsonResponse应该用POJO对象代替！

Question 4

另一个答案可能完全正确，但会产生误导。缺少的部分是您可以将来自不同来源的过滤器混合在一起。即使认为Jersey可能不提供CORS过滤器（不是我检查过的事实，但我相信其他答案），您也可以使用tomcat自己的CORS过滤器。

我在Jersey上成功使用了它。例如，我有自己的基本身份验证过滤器实现，以及CORS。最好的是，CORS过滤器是在Web XML中而不是在代码中配置的。

Question 5

为了为我的项目解决这个问题，我使用了Micheal的答案，并得出以下结论：

    <plugin>
        <groupId>org.apache.tomcat.maven</groupId>
        <artifactId>tomcat7-maven-plugin</artifactId>
        <version>2.2</version>
        <executions>
            <execution>
                <id>run-embedded</id>
                <goals>
                    <goal>run</goal>
                </goals>
                <phase>pre-integration-test</phase>
                <configuration>
                    <port>${maven.tomcat.port}</port>
                    <useSeparateTomcatClassLoader>true</useSeparateTomcatClassLoader>
                    <contextFile>${project.basedir}/tomcat/context.xml</contextFile>
                    <!--enable CORS for development purposes only. The web.xml file specified is a copy of
                        the auto generated web.xml with the additional CORS filter added -->
                    <tomcatWebXml>${maven.tomcat.web-xml.file}</tomcatWebXml>
                </configuration>
            </execution>
        </executions>
    </plugin>

CORS过滤器是来自tomcat网站的基本示例过滤器。

编辑：
该maven.tomcat.web-xml.file变量是该项目的POM定义的属性，它包含的路径web.xml文件（位于我的项目中）

Question 6

peeskillet的答案是正确的。但是刷新网页时出现此错误（仅在首次加载时有效）：

The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Origin 'http://127.0.0.1:8080' is therefore not allowed access.

因此，我没有使用add方法添加响应头，而是使用put方法。这是我班

public class MCORSFilter implements ContainerResponseFilter {
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN = "Access-Control-Allow-Origin";
    public static final String ACCESS_CONTROL_ALLOW_ORIGIN_VALUE = "*";

    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS = "Access-Control-Allow-Credentials";
    private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE = "true";

    public static final String ACCESS_CONTROL_ALLOW_HEADERS = "Access-Control-Allow-Headers";
    public static final String ACCESS_CONTROL_ALLOW_HEADERS_VALUE = "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With, Accept";

    public static final String ACCESS_CONTROL_ALLOW_METHODS = "Access-Control-Allow-Methods";
    public static final String ACCESS_CONTROL_ALLOW_METHODS_VALUE = "GET, POST, PUT, DELETE, OPTIONS, HEAD";

    public static final String[] ALL_HEADERs = {
            ACCESS_CONTROL_ALLOW_ORIGIN,
            ACCESS_CONTROL_ALLOW_CREDENTIALS,
            ACCESS_CONTROL_ALLOW_HEADERS,
            ACCESS_CONTROL_ALLOW_METHODS
    };
    public static final String[] ALL_HEADER_VALUEs = {
            ACCESS_CONTROL_ALLOW_ORIGIN_VALUE,
            ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE,
            ACCESS_CONTROL_ALLOW_HEADERS_VALUE,
            ACCESS_CONTROL_ALLOW_METHODS_VALUE
    };
    @Override
    public ContainerResponse filter(ContainerRequest request, ContainerResponse response) {
        for (int i = 0; i < ALL_HEADERs.length; i++) {
            ArrayList<Object> value = new ArrayList<>();
            value.add(ALL_HEADER_VALUEs[i]);
            response.getHttpHeaders().put(ALL_HEADERs[i], value); //using put method
        }
        return response;
    }
}

并将此类添加到web.xml中的init-param中

<init-param>
            <param-name>com.sun.jersey.spi.container.ContainerResponseFilters</param-name>
            <param-value>com.yourpackage.MCORSFilter</param-value>
        </init-param>