JerseyでJAX-RSを使用してCORSを処理する方法
Javaスクリプトクライアントアプリケーションを開発しています。サーバー側では、CORSを処理する必要があります。これは、JERSEYでJAX-RSで記述したすべてのサービスです。私のコード:
@CrossOriginResourceSharing(allowAllOrigins = true)
@GET
@Path("/readOthersCalendar")
@Produces("application/json")
public Response readOthersCalendar(String dataJson) throws Exception {
//my code. Edited by gimbal2 to fix formatting
return Response.status(status).entity(jsonResponse).header("Access-Control-Allow-Origin", "*").build();
}
現在のところ、要求されたリソースに「Access-Control-Allow-Origin」ヘッダーが存在しないというエラーが表示されています。 Origin ' http:// localhost:808 'はアクセスを許可されていません。」
これで私を助けてください。
ありがとう、よろしくブッダ・プニース
注:下部の更新を必ず読んでください
@CrossOriginResourceSharing はCXF注釈であるため、Jerseyでは機能しません。
Jerseyでは、CORSを処理するために、通常は ContainerResponseFilter を使用します。 Jersey 1と2のContainerResponseFilterは少し異なります。使用しているバージョンについては言及していないので、両方を投稿します。
ジャージー2
import Java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext request,
ContainerResponseContext response) throws IOException {
response.getHeaders().add("Access-Control-Allow-Origin", "*");
response.getHeaders().add("Access-Control-Allow-Headers",
"Origin, content-type, accept, authorization");
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
}
}
パッケージスキャンを使用してプロバイダーとリソースを検出する場合は、@Providerアノテーションが構成を処理します。そうでない場合は、ResourceConfigまたはApplicationサブクラスで明示的に登録する必要があります。
ResourceConfigを使用してフィルターを明示的に登録するサンプルコード:
final ResourceConfig resourceConfig = new ResourceConfig();
resourceConfig.register(new CORSFilter());
final final URI uri = ...;
final HttpServer httpServer = GrizzlyHttpServerFactory.createHttpServer(uri, resourceConfig);
Jersey 2.xの場合、このフィルターの登録に問題がある場合は、次のリソースが役立ちます。
ジャージー1
import com.Sun.jersey.spi.container.ContainerRequest;
import com.Sun.jersey.spi.container.ContainerResponse;
import com.Sun.jersey.spi.container.ContainerResponseFilter;
public class CORSFilter implements ContainerResponseFilter {
@Override
public ContainerResponse filter(ContainerRequest request,
ContainerResponse response) {
response.getHttpHeaders().add("Access-Control-Allow-Origin", "*");
response.getHttpHeaders().add("Access-Control-Allow-Headers",
"Origin, content-type, accept, authorization");
response.getHttpHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHttpHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
return response;
}
}
web.xml構成、使用できます
<init-param>
<param-name>com.Sun.jersey.spi.container.ContainerResponseFilters</param-name>
<param-value>com.yourpackage.CORSFilter</param-value>
</init-param>
または、ResourceConfigを行うことができます
resourceConfig.getContainerResponseFilters().add(new CORSFilter());
または、@Providerアノテーションを使用したパッケージスキャン。
編集
上記の例は改善できることに注意してください。 CORSの仕組みについて詳しく知る必要があります。 こちら をご覧ください。 1つは、すべての応答のヘッダーを取得することです。これは望ましくない場合があります。プリフライト(またはオプション)を処理する必要がある場合があります。より適切に実装されたCORSフィルターを表示する場合は、 RESTeasy CorsFilter のソースコードをチェックアウトできます。
更新
そこで、より適切な実装を追加することにしました。上記の実装は遅延型であり、すべてのリクエストにすべてのCORSヘッダーを追加します。もう1つの間違いは、それがresponseフィルターであり、リクエストがまだ処理されているということです。これは、プリフライトリクエスト(OPTIONSリクエスト)が到着すると、OPTIONSメソッドが実装されないため、405レスポンスが返されることを意味しますが、これは正しくありません。
これがshouldの仕組みです。したがって、CORSリクエストには、シンプルリクエストと プリフライトリクエスト の2種類があります。単純なリクエストの場合、ブラウザは実際のリクエストを送信し、Originリクエストヘッダーを追加します。ブラウザは、OriginヘッダーからのOriginが許可されていると言って、応答にAccess-Control-Allow-Originヘッダーがあることを期待しています。 「単純な要求」と見なされるためには、次の基準を満たす必要があります。
- 次のいずれかの方法にしてください:
- GET
- HEAD
- POST
- ブラウザによって自動的に設定されるヘッダーとは別に、リクエストには次のmanually set headers:のみを含めることができます。
AcceptAccept-LanguageContent-LanguageContent-TypeDPRSave-DataViewport-WidthWidth
Content-Typeヘッダーに許可される値は次のとおりです:application/x-www-form-urlencodedmultipart/form-datatext/plain
リクエストがこれら3つの基準のすべてを満たさない場合、プリフライトリクエストが行われます。これはサーバーに対して行われるOPTIONSリクエストです。実際のリクエストに対してpriorです。異なるAccess-Control-XX-XXヘッダーが含まれ、サーバーは独自のCORS応答ヘッダーでこれらのヘッダーに応答する必要があります。一致するヘッダーは次のとおりです。
Preflight Request and Response Headers
+-----------------------------------+--------------------------------------+
| REQUEST HEADER | RESPONSE HEADER |
+===================================+======================================+
| Origin | Access-Control-Allow-Origin |
+-----------------------------------+--------------------------------------+
| Access-Control-Request-Headers | Access-Control-Allow-Headers |
+-----------------------------------+--------------------------------------+
| Access-Control-Request-Method | Access-Control-Allow-Methods |
+-----------------------------------+--------------------------------------+
| XHR.withCredentials | Access-Control-Allow-Credentials |
+-----------------------------------+--------------------------------------+
Originリクエストヘッダーを使用すると、値はOriginサーバードメインになり、応答Access-Control-Allow-Headerは、この同じアドレスまたは*になり、すべてのオリジンが許可されることを指定します。クライアントが上記のリストにないヘッダーを手動で設定しようとすると、ブラウザーは
Access-Control-Request-Headersヘッダーを設定し、値はクライアントが設定しようとしているすべてのヘッダーのリストになります。サーバーはAccess-Control-Allow-Headers応答ヘッダーで応答する必要があり、その値は許可されているヘッダーのリストです。また、ブラウザーは
Access-Control-Request-Method要求ヘッダーを設定し、その値は要求のHTTPメソッドです。サーバーはAccess-Control-Allow-Methods応答ヘッダーで応答する必要があり、値は許可するメソッドのリストです。クライアントが
XHR.withCredentialsを使用する場合、サーバーはAccess-Control-Allow-Credentials応答ヘッダーで値trueで応答する必要があります。 詳細はこちら 。
以上のことから、より良い実装がここにあります。これは上記の実装よりもbetterですが、この実装はすべてのオリジンを許可するため、リンク先の RESTEasy one よりも劣っています。ただし、このフィルターは、すべての要求にCORS応答ヘッダーを追加する上記のフィルターよりも、CORS仕様を順守します。アプリケーションで許可されるヘッダーに一致するようにAccess-Control-Allow-Headersを変更する必要がある場合があることに注意してください。この例のリストからヘッダーを追加または削除することができます。
@Provider
@PreMatching
public class CorsFilter implements ContainerRequestFilter, ContainerResponseFilter {
/**
* Method for ContainerRequestFilter.
*/
@Override
public void filter(ContainerRequestContext request) throws IOException {
// If it's a preflight request, we abort the request with
// a 200 status, and the CORS headers are added in the
// response filter method below.
if (isPreflightRequest(request)) {
request.abortWith(Response.ok().build());
return;
}
}
/**
* A preflight request is an OPTIONS request
* with an Origin header.
*/
private static boolean isPreflightRequest(ContainerRequestContext request) {
return request.getHeaderString("Origin") != null
&& request.getMethod().equalsIgnoreCase("OPTIONS");
}
/**
* Method for ContainerResponseFilter.
*/
@Override
public void filter(ContainerRequestContext request, ContainerResponseContext response)
throws IOException {
// if there is no Origin header, then it is not a
// cross Origin request. We don't do anything.
if (request.getHeaderString("Origin") == null) {
return;
}
// If it is a preflight request, then we add all
// the CORS headers here.
if (isPreflightRequest(request)) {
response.getHeaders().add("Access-Control-Allow-Credentials", "true");
response.getHeaders().add("Access-Control-Allow-Methods",
"GET, POST, PUT, DELETE, OPTIONS, HEAD");
response.getHeaders().add("Access-Control-Allow-Headers",
// Whatever other non-standard/safe headers (see list above)
// you want the client to be able to send to the server,
// put it in this list. And remove the ones you don't want.
"X-Requested-With, Authorization, " +
"Accept-Version, Content-MD5, CSRF-Token");
}
// Cross Origin requests can be either simple requests
// or preflight request. We need to add this header
// to both type of requests. Only preflight requests
// need the previously added headers.
response.getHeaders().add("Access-Control-Allow-Origin", "*");
}
}
CORSの詳細については、 Cross-Origin Resource Sharing(CORS) のMDNドキュメントを読むことをお勧めします
他の答えは厳密に正しいかもしれませんが、誤解を招くかもしれません。欠けている部分は、異なるソースからのフィルターを一緒に混合できることです。 JerseyがCORSフィルターを提供しないかもしれないと思っていても(私がチェックした事実ではないが、それに関する他の答えを信頼している)、 Tomcat独自のCORSフィルター を使用できます。
私はジャージーでそれを正常に使用しています。たとえば、CORSと共に、基本認証フィルターの独自の実装があります。とりわけ、CORSフィルターはコードではなくWeb XMLで構成されます。
注釈「@CrossOriginResourceSharing(allowAllOrigins = true)」を削除します
次に、以下のような応答を返します。
return Response.ok()
.entity(jsonResponse)
.header("Access-Control-Allow-Origin", "*")
.build();
ただし、jsonResponseはPOJOオブジェクトに置き換える必要があります!
peeskilletの答えは正しいです。しかし、Webページを更新するとこのエラーが発生します(最初のロードでのみ機能しています):
The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Origin 'http://127.0.0.1:8080' is therefore not allowed access.
したがって、addメソッドを使用して応答用のヘッダーを追加する代わりに、putメソッドを使用します。これは私のクラスです
public class MCORSFilter implements ContainerResponseFilter {
public static final String ACCESS_CONTROL_ALLOW_Origin = "Access-Control-Allow-Origin";
public static final String ACCESS_CONTROL_ALLOW_Origin_VALUE = "*";
private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS = "Access-Control-Allow-Credentials";
private static final String ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE = "true";
public static final String ACCESS_CONTROL_ALLOW_HEADERS = "Access-Control-Allow-Headers";
public static final String ACCESS_CONTROL_ALLOW_HEADERS_VALUE = "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With, Accept";
public static final String ACCESS_CONTROL_ALLOW_METHODS = "Access-Control-Allow-Methods";
public static final String ACCESS_CONTROL_ALLOW_METHODS_VALUE = "GET, POST, PUT, DELETE, OPTIONS, HEAD";
public static final String[] ALL_HEADERs = {
ACCESS_CONTROL_ALLOW_Origin,
ACCESS_CONTROL_ALLOW_CREDENTIALS,
ACCESS_CONTROL_ALLOW_HEADERS,
ACCESS_CONTROL_ALLOW_METHODS
};
public static final String[] ALL_HEADER_VALUEs = {
ACCESS_CONTROL_ALLOW_Origin_VALUE,
ACCESS_CONTROL_ALLOW_CREDENTIALS_VALUE,
ACCESS_CONTROL_ALLOW_HEADERS_VALUE,
ACCESS_CONTROL_ALLOW_METHODS_VALUE
};
@Override
public ContainerResponse filter(ContainerRequest request, ContainerResponse response) {
for (int i = 0; i < ALL_HEADERs.length; i++) {
ArrayList<Object> value = new ArrayList<>();
value.add(ALL_HEADER_VALUEs[i]);
response.getHttpHeaders().put(ALL_HEADERs[i], value); //using put method
}
return response;
}
}
そして、このクラスをweb.xmlのinit-paramに追加します
<init-param>
<param-name>com.Sun.jersey.spi.container.ContainerResponseFilters</param-name>
<param-value>com.yourpackage.MCORSFilter</param-value>
</init-param>
私のプロジェクトでこれを解決するために、私は Micheal's answerを使用して、これに到達しました:
<plugin>
<groupId>org.Apache.Tomcat.maven</groupId>
<artifactId>Tomcat7-maven-plugin</artifactId>
<version>2.2</version>
<executions>
<execution>
<id>run-embedded</id>
<goals>
<goal>run</goal>
</goals>
<phase>pre-integration-test</phase>
<configuration>
<port>${maven.Tomcat.port}</port>
<useSeparateTomcatClassLoader>true</useSeparateTomcatClassLoader>
<contextFile>${project.basedir}/Tomcat/context.xml</contextFile>
<!--enable CORS for development purposes only. The web.xml file specified is a copy of
the auto generated web.xml with the additional CORS filter added -->
<tomcatWebXml>${maven.Tomcat.web-xml.file}</tomcatWebXml>
</configuration>
</execution>
</executions>
</plugin>
Tomcatサイト からの基本的なフィルター例であるCORSフィルター
編集:
maven.Tomcat.web-xml.file変数はプロジェクトのpom定義プロパティであり、Webへのパスが含まれています.xmlファイル(プロジェクト内にあります)