本文为tomcat-8.5的CORS Filter的官网翻译。
1 介绍
CORS Filter过滤器是W3C的CORS(跨源资源共享)规范的一种实现,它是跨源请求的机制。
该过滤器的工作原理是将所需的Access-Control- *标头添加到HttpServletResponse对象。 该过滤器还可以防止HTTP响应分裂。 如果请求无效或不被允许,则使用HTTP状态代码403(禁止)拒绝请求。 可以使用此过滤器演示请求处理的流程图。
使用此过滤器所需的最小配置是:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>2 过滤类名称
CORS过滤器的过滤器类名是org.apache.catalina.filters.CorsFilter。
3 初始化参数
CORS过滤器支持以下初始化参数:
| 属性 | 描述 |
|---|---|
| cors.allowed.origins | 允许访问资源的源列表。 可以指定A *以允许从任何源访问资源。 否则,可以提供逗号分隔的起源白名单。 例如:http://www.w3.org,https://www.apache.org。 默认值:空字符串。 (不允许原点访问资源)。 |
| cors.allowed.methods | 以逗号分隔的HTTP方法列表,可使用跨源请求来访问资源。 这些方法也将作为飞行前响应中的Access-Control-Allow-Methods标题的一部分包含在内。 例如:GET,POST。 默认值:GET,POST,HEAD,OPTIONS |
| cors.allowed.headers | 以逗号分隔的请求标头列表,可在发出实际请求时使用。 这些标头也将作为飞行前响应中的Access-Control-Allow-Headers标头的一部分返回。 例如:Origin,Accept。 默认值:Origin,Accept,X-Requested-With,Content-Type,Access-Control-Request-Method,Access-Control-Request-Headers |
| cors.exposed.headers | 除了允许浏览器访问的简单响应标头之外的逗号分隔标头列表。 这些标题也将作为飞行前响应中的Access-Control-Expose-Headers标题的一部分包含在内。 例如:X-CUSTOM-HEADER-PING,X-CUSTOM-HEADER-PONG。 默认值:无。 默认情况下不会公开非简单标头。 |
| cors.preflight.maxage | 允许浏览器缓存飞行前请求的结果的秒数。 这将作为飞行前响应中的Access-Control-Max-Age标头的一部分包含在内。 负值将阻止CORS过滤器将此响应标头添加到飞行前响应中。 默认值:1800 |
| cors.support.credentials | 一个标志,指示资源是否支持用户凭据。 此标志在飞行前响应中作为Access-Control-Allow-Credentials标头的一部分公开。 它有助于浏览器确定是否可以使用凭据进行实际请求。 默认值:false |
| cors.request.decorate | 用于控制是否应将CORS特定属性添加到HttpServletRequest对象的标志。 默认值:true |
以下是更高级配置的示例,它覆盖默认值:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4 CORS Filter和HttpServletRequest属性
CORS Filter在HttpServletRequest对象中添加有关请求的信息,以供下游消费使用。 如果cors.request.decorate initialisation参数为true,则设置以下属性:
- cors.isCorsRequest:用于确定请求是否为CORS请求的标志。
- cors.request.origin:Origin URL,即发出请求的页面的URL。
cors.request.type:CORS请求的类型。 可能的值:
- 简单:不在飞行前请求之前的请求。
- ACTUAL:一个请求,前面是一个飞行前请求。
- PRE_FLIGHT:飞行前请求。
- NOT_CORS:普通的同源请求。
- INVALID_CORS:跨域请求,无效。
4.cors.request.headers:请求标头作为Access-Control-Request-Headers标头发送,用于飞行前请求。