@CrossOrigin这个注解,发现@CrossOrigin有很多的属性:

  1. @AliasFor("origins")    
  2. String[] value() default {};     
  4. @AliasFor("value")    
  5. String[] origins() default {};     
  7. String[] allowedHeaders() default {};     
  9. String[] exposedHeaders() default {};     
  11. RequestMethod[] methods() default {};     
  13. String allowCredentials() default "";     
  15. long maxAge() default -1L;
  • String[] origins: 允许来源域名的列表,例如 ‘www.jd.com’,匹配的域名是跨域预请求 Response 头中的 ‘Access-Control-Aloow_origin’ 字段值。不设置确切值时默认支持所有域名跨域访问。
  • String[] allowedHeaders: 跨域请求中允许的请求头中的字段类型, 该值对应跨域预请求 Response 头中的 ‘Access-Control-Allow-Headers’ 字段值。 不设置确切值默认支持所有的header字段(Cache-Controller、Content-Language、Content-Type、Expires、Last-Modified、Pragma)跨域访问。
  • String[] exposedHeaders: 跨域请求请求头中允许携带的除Cache-Controller、Content-Language、Content-Type、Expires、Last-Modified、Pragma这六个基本字段之外的其他字段信息,对应的是跨域请求 Response 头中的 ‘Access-control-Expose-Headers’字段值。
  • RequestMethod[] methods: 跨域HTTP请求中支持的HTTP请求类型(GET、POST…),不指定确切值时默认与 Controller 方法中的 methods 字段保持一致。
  • String allowCredentials: 该值对应的是是跨域请求 Response 头中的 ‘Access-Control-Allow-Credentials’ 字段值。浏览器是否将本域名下的 cookie 信息携带至跨域服务器中。默认携带至跨域服务器中,但要实现 cookie 共享还需要前端在 AJAX 请求中打开 withCredentials 属性。
  • long maxAge: 该值对应的是是跨域请求 Response 头中的 ‘Access-Control-Max-Age’ 字段值,表示预检请求响应的缓存持续的最大时间,目的是减少浏览器预检请求/响应交互的数量。默认值1800s。设置了该值后,浏览器将在设置值的时间段内对该跨域请求不再发起预请求。