public class CorsRegistration extends ObjectSE
CorsConfiguration
インスタンスの作成を支援します。CorsRegistry
コンストラクターと説明 |
---|
CorsRegistration(StringSE pathPattern) |
修飾子と型 | メソッドと説明 |
---|---|
CorsRegistration | allowCredentials(boolean allowCredentials) ブラウザーが、ドメイン間リクエストとともに Cookie などの資格情報をアノテーション付きエンドポイントに送信するかどうか。 |
CorsRegistration | allowedHeaders(StringSE... headers) プリフライトリクエストが実際のリクエスト中に使用できるようにリストできるヘッダーのリストを設定します。 |
CorsRegistration | allowedMethods(StringSE... methods) 許可する HTTP メソッドを設定します。 |
CorsRegistration | allowedOrigins(StringSE... origins) 特定のオリジンである許可されたオリジンのリスト。 |
CorsRegistration | exposedHeaders(StringSE... headers) 「単純な」ヘッダー以外のレスポンスヘッダーのリストを設定します。 |
protected CorsConfiguration | getCorsConfiguration() |
protected StringSE | getPathPattern() |
CorsRegistration | maxAge(long maxAge) プリフライトリクエストからのレスポンスをクライアントがキャッシュできる時間を秒単位で構成します。 |
cloneSE, equalsSE, finalizeSE, getClassSE, hashCodeSE, notifySE, notifyAllSE, toStringSE, waitSE, waitSE, waitSE
public CorsRegistration(StringSE pathPattern)
public CorsRegistration allowedOrigins(StringSE... origins)
"https://domain1.com"
または "*"
。 一致したオリジンは、プリフライトの実際の CORS リクエストの Access-Control-Allow-Origin
レスポンスヘッダーにリストされています。
デフォルトでは、すべてのオリジンが許可されています。
注意 : CORS チェックは、クライアントから発信されたアドレスを反映するために、存在する場合、"Forwarded" (RFC 7239)、"X-Forwarded-Host"、"X-Forwarded-Port"、"X-Forwarded-Proto" ヘッダーの値を使用します。ForwardedHeaderFilter
を使用して、抽出して使用するか、このようなヘッダーを破棄するかを中央から選択することを検討してください。このフィルターの詳細については、Spring Framework リファレンスを参照してください。
public CorsRegistration allowedMethods(StringSE... methods)
"GET"
、"POST"
など。 特別な値 "*"
はすべてのメソッドを許可します。
デフォルトでは、「単純な」メソッド GET
、HEAD
、POST
が許可されています。
public CorsRegistration allowedHeaders(StringSE... headers)
特別な値 "*"
を使用して、すべてのヘッダーを許可できます。
CORS 仕様に従って、Cache-Control
、Content-Language
、Expires
、Last-Modified
または Pragma
のいずれかである場合、ヘッダー名をリストする必要はありません。
デフォルトでは、すべてのヘッダーが許可されています。
public CorsRegistration exposedHeaders(StringSE... headers)
Cache-Control
、Content-Language
、Content-Type
、Expires
、Last-Modified
または Pragma
で、実際のレスポンスが持つ可能性があり、公開することができます。"*"
はこのプロパティではサポートされていないことに注意してください。
デフォルトでは、これは設定されていません。
public CorsRegistration allowCredentials(boolean allowCredentials)
Access-Control-Allow-Credentials
レスポンスヘッダーに設定されます。注意 : このオプションは、構成されたドメインとの高レベルの信頼を確立し、Cookie や CSRF トークンなどのユーザー固有の機密情報を公開することにより、Web アプリケーションの表面攻撃を増やすことに注意してください。
デフォルトでは、これは設定されていません。その場合、Access-Control-Allow-Credentials
ヘッダーも設定されないため、資格情報は許可されません。
public CorsRegistration maxAge(long maxAge)
デフォルトでは、1800 秒(30 分)に設定されています。
protected StringSE getPathPattern()
protected CorsConfiguration getCorsConfiguration()