フィールドの詳細

• ALL

  public static final StringSE ALL

  すべてのオリジン、メソッド、ヘッダーを表すワイルドカード。

  関連事項:

  定数フィールド値

コンストラクターの詳細

• CorsConfiguration

  public CorsConfiguration()

  デフォルトでは、どのオリジンでもクロスオリジンリクエストが許可されていない新しい CorsConfiguration インスタンスを作成します。

  関連事項:

  applyPermitDefaultValues()

• CorsConfiguration

  public CorsConfiguration(CorsConfiguration other)

  指定された CorsConfiguration からすべての値をコピーして、新しい CorsConfiguration インスタンスを構築します。

メソッドの詳細

• setAllowedOrigins

  public void setAllowedOrigins(@Nullable
                                ListSE<StringSE> origins)

  クロスオリジンリクエストが許可されているオリジンのリスト。値は特定のドメインである可能性があります。"https://domain1.com"、または CORS で定義されたすべてのオリジンの特別な値 "*"。

  一致したプリフライトおよび実際のリクエストの場合、Access-Control-Allow-Origin レスポンスヘッダーは一致したドメイン値または "*" のいずれかに設定されます。ただし、allowCredentials が true に設定されている場合、CORS 仕様では "*" が許可されておらず、5.3 以降、その組み合わせは拒否され、代わりに allowedOriginPatterns を使用することに注意してください。

  デフォルトでは、これは設定されていません。つまり、オリジンは許可されていません。ただし、このクラスのインスタンスは、多くの場合、さらに初期化されます。@CrossOrigin の場合、applyPermitDefaultValues() 経由。

• getAllowedOrigins

  @Nullable
  public ListSE<StringSE> getAllowedOrigins()

  許可するように構成されたオリジンを返します。許可しない場合は null を返します。

• addAllowedOrigin

  public void addAllowedOrigin(@Nullable
                               StringSE origin)

  一度に 1 つの原点を追加するための setAllowedOrigins(java.util.List<java.lang.String>) のバリアント。

• setAllowedOriginPatterns

  public CorsConfiguration setAllowedOriginPatterns(@Nullable
                                                    ListSE<StringSE> allowedOriginPatterns)

  ポートリストに加えて、ホスト名の任意の場所に "*" が付いた、より柔軟なオリジンパターンをサポートする setAllowedOrigins(java.util.List<java.lang.String>) の代替。例:

  • https://*.domain1.com-domain1.com で終わるドメイン
  • https://*.domain1.com:[8080、8081]- ポート 8080 またはポート 8081 で domain1.com で終わるドメイン
  • https://*.domain1.com:[*]- デフォルトポートを含む任意のポートで domain1.com で終わるドメイン

  "*" のみをサポートし、allowCredentials では使用できない allowedOrigins とは対照的に、allowedOriginPattern が一致すると、Access-Control-Allow-Origin レスポンスヘッダーは一致した起点に設定され、"*" やパターンには設定されません。allowedOriginPatterns は、true に設定された setAllowCredentials(java.lang.Boolean) と組み合わせて使用できます。

  デフォルトでは、これは設定されていません。

  導入:

  5.3

• getAllowedOriginPatterns

  @Nullable
  public ListSE<StringSE> getAllowedOriginPatterns()

  許可するように構成されたオリジンパターンを返します。ない場合は null を返します。

  導入:

  5.3

• addAllowedOriginPattern

  public void addAllowedOriginPattern(@Nullable
                                      StringSE originPattern)

  一度に 1 つの原点を追加するための setAllowedOriginPatterns(java.util.List<java.lang.String>) のバリアント。

  導入:

  5.3

• setAllowedMethods

  public void setAllowedMethods(@Nullable
                                ListSE<StringSE> allowedMethods)

  許可する HTTP メソッドを設定します。"GET"、"POST"、"PUT" など

  特別な値 "*" はすべてのメソッドを許可します。

  設定しない場合、"GET" と "HEAD" のみが許可されます。

  デフォルトでは、これは設定されていません。

  注意 : CORS チェックは、クライアントから発信されたアドレスを反映するために、存在する場合、"Forwarded" （RFC 7239）、"X-Forwarded-Host"、"X-Forwarded-Port"、"X-Forwarded-Proto" ヘッダーの値を使用します。ForwardedHeaderFilter を使用して、抽出して使用するか、このようなヘッダーを破棄するかを中央から選択することを検討してください。このフィルターの詳細については、Spring Framework リファレンスを参照してください。

• getAllowedMethods

  @Nullable
  public ListSE<StringSE> getAllowedMethods()

  許可された HTTP メソッド、または null を返します。この場合、"GET" および "HEAD" のみが許可されます。

  関連事項:

  addAllowedMethod(HttpMethod), addAllowedMethod(String), setAllowedMethods(List)

• addAllowedMethod

  public void addAllowedMethod(HttpMethod method)

  許可する HTTP メソッドを追加します。

• addAllowedMethod

  public void addAllowedMethod(StringSE method)

  許可する HTTP メソッドを追加します。

• setAllowedHeaders

  public void setAllowedHeaders(@Nullable
                                ListSE<StringSE> allowedHeaders)

  プリフライトリクエストが実際のリクエスト中に使用できるようにリストできるヘッダーのリストを設定します。

  特別な値 "*" を使用すると、実際のリクエストで任意のヘッダーを送信できます。

  ヘッダー名が Cache-Control、Content-Language、Expires、Last-Modified または Pragma のいずれかである場合、ヘッダー名をリストする必要はありません。

  デフォルトでは、これは設定されていません。

• getAllowedHeaders

  @Nullable
  public ListSE<StringSE> getAllowedHeaders()

  許可された実際のリクエストヘッダーを返します。ない場合は null を返します。

  関連事項:

  addAllowedHeader(String), setAllowedHeaders(List)

• addAllowedHeader

  public void addAllowedHeader(StringSE allowedHeader)

  許可する実際のリクエストヘッダーを追加します。

• setExposedHeaders

  public void setExposedHeaders(@Nullable
                                ListSE<StringSE> exposedHeaders)

  実際のレスポンスが持つ可能性があり、公開できる単純なヘッダー（つまり、Cache-Control、Content-Language、Content-Type、Expires、Last-Modified または Pragma）以外のレスポンスヘッダーのリストを設定します。

  特別な値 "*" を使用すると、資格情報のないリクエストに対してすべてのヘッダーを公開できます。

  デフォルトでは、これは設定されていません。

• getExposedHeaders

  @Nullable
  public ListSE<StringSE> getExposedHeaders()

  公開する構成済みのレスポンスヘッダーを返します。存在しない場合は null を返します。

  関連事項:

  addExposedHeader(String), setExposedHeaders(List)

• addExposedHeader

  public void addExposedHeader(StringSE exposedHeader)

  公開するレスポンスヘッダーを追加します。

  特別な値 "*" を使用すると、資格情報のないリクエストに対してすべてのヘッダーを公開できます。

• setAllowCredentials

  public void setAllowCredentials(@Nullable
                                  BooleanSE allowCredentials)

  ユーザー資格情報がサポートされているかどうか。

  デフォルトでは、これは設定されていません（つまり、ユーザー資格情報はサポートされていません）。

• getAllowCredentials

  @Nullable
  public BooleanSE getAllowCredentials()

  構成済みの allowCredentials フラグを返します。ない場合は null を返します。

  関連事項:

  setAllowCredentials(Boolean)

• setMaxAge

  public void setMaxAge(DurationSE maxAge)

  期間として、プリフライトリクエストからのレスポンスをクライアントがキャッシュできる期間を設定します。

  導入:

  5.2

  関連事項:

  setMaxAge(Long)

• setMaxAge

  public void setMaxAge(@Nullable
                        LongSE maxAge)

  プリフライトリクエストからのレスポンスをクライアントがキャッシュできる期間を秒単位で構成します。

  デフォルトでは、これは設定されていません。

• getMaxAge

  @Nullable
  public LongSE getMaxAge()

  構成された maxAge 値を返します。ない場合は null 値を返します。

  関連事項:

  setMaxAge(Long)

• applyPermitDefaultValues

  public CorsConfiguration applyPermitDefaultValues()

  デフォルトでは、CorsConfiguration はクロスオリジンリクエストを許可しないため、明示的に設定する必要があります。このメソッドを使用して、GET、HEAD、POST のすべてのクロスオリジンリクエストを許可するが、すでに設定されている値をオーバーライドしないデフォルトに切り替えます。

  設定されていない値には、次のデフォルトが適用されます。

  • CORS 仕様で定義されている特別な値 "*" を持つすべてのオリジンを許可します。これは、origins も originPatterns もまだ設定されていない場合にのみ設定されます。
  • 「単純な」メソッド GET、HEAD、POST を許可します。
  • すべてのヘッダーを許可します。
  • 最大経過時間を 1800 秒（30 分）に設定します。

• validateAllowCredentials

  public void validateAllowCredentials()

  allowCredentials が true の場合、"Access-Control-Allow-Origin" を "*" に設定できないため、allowedOrigins に特別な値 "*" が含まれていないことを検証します。

  例外:

  IllegalArgumentExceptionSE - 検証が失敗した場合

  導入:

  5.3

• combine

  public CorsConfiguration combine(@Nullable
                                   CorsConfiguration other)

  提供された CorsConfiguration の null 以外のプロパティをこれと組み合わせます。

  allowCredentials や maxAge などの単一の値を組み合わせる場合、this プロパティは、null でない other プロパティがある場合はそれによってオーバーライドされます。

  allowedOrigins、allowedMethods、allowedHeaders や exposedHeaders のようなリストの組み合わせは、相加的な方法で行われます。例: ["GET", "POST"] を ["PATCH"] と組み合わせると、["GET", "POST", "PATCH"] になります。ただし、["GET", "POST"] を ["*"] と組み合わせると、["*"] になります。applyPermitDefaultValues() によって設定されたデフォルトの許可値は、明示的に定義された値によって上書きされることにも注意してください。

  戻り値:

  結合された CorsConfiguration、または提供された構成が null の場合は this 構成

• checkOrigin

  @Nullable
  public StringSE checkOrigin(@Nullable
                                      StringSE origin)

  構成された許可された発信元に対してリクエストの発信元を確認します。

  パラメーター:

  origin - チェックする原点

  戻り値:

  レスポンスに使用する起点、またはリクエストの起点が許可されていないことを意味する null 

• checkHttpMethod

  @Nullable
  public ListSE<HttpMethod> checkHttpMethod(@Nullable
                                                    HttpMethod requestMethod)

  HTTP リクエストメソッド（またはプリフライトリクエストの Access-Control-Request-Method ヘッダーのメソッド）を、構成された許可されたメソッドと照合します。

  パラメーター:

  requestMethod - チェックする HTTP リクエストメソッド

  戻り値:

  プリフライトリクエストのレスポンスでリストする HTTP メソッドのリスト、または指定された requestMethod が許可されていない場合は null 

• checkHeaders

  @Nullable
  public ListSE<StringSE> checkHeaders(@Nullable
                                             ListSE<StringSE> requestHeaders)

  提供されたリクエストヘッダー（またはプリフライトリクエストの Access-Control-Request-Headers にリストされているヘッダー）を、構成された許可されたヘッダーと照合します。

  パラメーター:

  requestHeaders - チェックするリクエストヘッダー

  戻り値:

  プリフライトリクエストのレスポンスにリストする許可されたヘッダーのリスト、または提供されたリクエストヘッダーのいずれも許可されていない場合は null