Spring Security攔截器引起Java CORS跨域失敗的問(wèn)題及解決
在已設(shè)置CORS的項(xiàng)目中加入Spring Security,導(dǎo)致跨域訪問(wèn)失敗,一開(kāi)始以為是設(shè)置錯(cuò)CORS的問(wèn)題,后來(lái)才發(fā)現(xiàn)是因?yàn)镾pring Security的攔截沖突引起的。
(一) CORS介紹CORS是一個(gè)W3C標(biāo)準(zhǔn),全稱是”跨域資源共享”(Cross-origin resource sharing)。
它允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請(qǐng)求,從而克服了AJAX只能同源使用的限制。
response響應(yīng)頭響應(yīng)頭字段名稱 作用 Access-Control-Allow-Origin 允許訪問(wèn)的客戶端的域名 Access-Control-Allow-Credentials 是否允許請(qǐng)求帶有驗(yàn)證信息,若要獲取客戶端域下的cookie時(shí),需要將其設(shè)置為true。 Access-Control-Allow-Headers 允許服務(wù)端訪問(wèn)的客戶端請(qǐng)求頭 Access-Control-Allow-Methods 允許訪問(wèn)的HTTP請(qǐng)求方法 Access-Control-Max-Age 用來(lái)指定預(yù)檢請(qǐng)求的有效期(秒),在有效期內(nèi)不在發(fā)送預(yù)檢請(qǐng)求直接請(qǐng)求。Cors詳細(xì)介紹請(qǐng)看阮一峰的跨域資源共享 CORS 詳解
(二) 服務(wù)端配置CORS(Spring boot)1、直接寫(xiě)個(gè)filter攔截所有請(qǐng)求在response頭里加上面的字段.
2、繼承WebMvcConfigurerAdapter重寫(xiě)addCorsMappings
public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedHeaders('*') .allowedMethods('*') .allowedOrigins('*'); }}
自定義Filter,注冊(cè)
@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin('*'); config.setAllowCredentials(true); config.addAllowedHeader('*'); config.addAllowedMethod('*'); source.registerCorsConfiguration('/**', config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0);//配置CorsFilter優(yōu)先級(jí) return bean; }
@CrossOrigin注解
@CrossOrigin(origins = '*',allowCredentials = 'true',allowedHeaders = '*',methods = RequestMethod.GET,maxAge = 3600)(三) 出現(xiàn)的問(wèn)題
即使配置了響應(yīng)頭字段,還是不能跨域訪問(wèn),經(jīng)過(guò)反復(fù)測(cè)試發(fā)現(xiàn),GET請(qǐng)求可以訪問(wèn),PUT請(qǐng)求無(wú)法訪問(wèn),突然想起:非簡(jiǎn)單請(qǐng)求會(huì)發(fā)起一個(gè)OPTIONS方法的預(yù)檢請(qǐng)求,而我用了Spring Security攔截了所有請(qǐng)求,只開(kāi)放部分請(qǐng)求,所以需要在Spring Security中設(shè)置不攔截OPTIONS方法的請(qǐng)求。
解決方法配置Spring Security,設(shè)置不攔截OPTIONS請(qǐng)求
HttpSecurity#authorizeRequests() .antMatchers(HttpMethod.OPTIONS) .permitAll()
配置CorsFilter優(yōu)先級(jí),優(yōu)于Spring Security配置即可!
以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持好吧啦網(wǎng)。
相關(guān)文章:
1. php測(cè)試程序運(yùn)行速度和頁(yè)面執(zhí)行速度的代碼2. ASP中常用的22個(gè)FSO文件操作函數(shù)整理3. 三個(gè)不常見(jiàn)的 HTML5 實(shí)用新特性簡(jiǎn)介4. Warning: require(): open_basedir restriction in effect,目錄配置open_basedir報(bào)錯(cuò)問(wèn)題分析5. ASP調(diào)用WebService轉(zhuǎn)化成JSON數(shù)據(jù),附j(luò)son.min.asp6. SharePoint Server 2019新特性介紹7. React+umi+typeScript創(chuàng)建項(xiàng)目的過(guò)程8. 無(wú)線標(biāo)記語(yǔ)言(WML)基礎(chǔ)之WMLScript 基礎(chǔ)第1/2頁(yè)9. ASP.NET Core 5.0中的Host.CreateDefaultBuilder執(zhí)行過(guò)程解析10. php網(wǎng)絡(luò)安全中命令執(zhí)行漏洞的產(chǎn)生及本質(zhì)探究
網(wǎng)公網(wǎng)安備