好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

Spring Security拦截器引起Java CORS跨域失败的问题及解决

在已设置CORS的项目中加入Spring Security,导致跨域访问失败,一开始以为是设置错CORS的问题,后来才发现是因为Spring Security的拦截冲突引起的。

(一) CORS介绍

CORS是一个W3C标准,全称是]跨域资源共享](Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

response响应头

响应头字段名称 作用
Access-Control-Allow-Origin 允许访问的客户端的域名
Access-Control-Allow-Credentials 是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。
Access-Control-Allow-Headers 允许服务端访问的客户端请求头
Access-Control-Allow-Methods 允许访问的HTTP请求方法
Access-Control-Max-Age 用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

1、直接写个filter拦截所有请求在response头里加上面的字段.

2、继承WebMvcConfigurerAdapter重写addCorsMappings

?

1

2

3

4

5

6

7

8

9

public class CorsConfig extends WebMvcConfigurerAdapter {

      @Override

      public void addCorsMappings(CorsRegistry registry) {

          registry.addMapping( "/**" )

                  .allowedHeaders( "*" )

                  .allowedMethods( "*" )

                  .allowedOrigins( "*" );

      }

}

自定义Filter,注册

?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

@Bean

  public FilterRegistrationBean corsFilter() {

      UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

      CorsConfiguration config = new CorsConfiguration();

      config.addAllowedOrigin( "*" );

      config.setAllowCredentials( true );

      config.addAllowedHeader( "*" );

      config.addAllowedMethod( "*" );

      source.registerCorsConfiguration( "/**" , config);

 

      FilterRegistrationBean bean = new FilterRegistrationBean( new CorsFilter(source));

      bean.setOrder( 0 ); //配置CorsFilter优先级

      return bean;

  }

@CrossOrigin注解

?

1

2

3

4

5

6

7

@CrossOrigin (

         origins = "*" ,

         allowCredentials = "true" ,

         allowedHeaders = "*" ,

         methods = RequestMethod.GET,

         maxAge = 3600

)

(三) 出现的问题

即使配置了响应头字段,还是不能跨域访问,经过反复测试发现,GET请求可以访问,PUT请求无法访问,突然想起:非简单请求会发起一个OPTIONS方法的预检请求,而我用了Spring Security拦截了所有请求,只开放部分请求,所以需要在Spring Security中设置不拦截OPTIONS方法的请求。

解决方法

配置Spring Security,设置不拦截OPTIONS请求

?

1

2

3

HttpSecurity#authorizeRequests()

             .antMatchers(HttpMethod.OPTIONS)

             .permitAll()

配置CorsFilter优先级,优于Spring Security配置即可!

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。

原文链接:https://blog.csdn.net/hhaojian/article/details/78930591

查看更多关于Spring Security拦截器引起Java CORS跨域失败的问题及解决的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did214149
  阅读:28次

上一篇: spring cloud gateway集成hystrix全局断路器操作

下一篇:面试必问项之Set实现类:TreeSet