Spring|Spring Security拦截器引起Java CORS跨域失败的问题及解决
在已设置CORS的项目中加入Spring Security,导致跨域访问失败,一开始以为是设置错CORS的问题,后来才发现是因为Spring Security的拦截冲突引起的。
(一) CORS介绍
CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
response响应头
响应头字段名称 | 作用 |
---|---|
Access-Control-Allow-Origin | 允许访问的客户端的域名 |
Access-Control-Allow-Credentials | 是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。 |
Access-Control-Allow-Headers | 允许服务端访问的客户端请求头 |
Access-Control-Allow-Methods | 允许访问的HTTP请求方法 |
Access-Control-Max-Age | 用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。 |
(二) 服务端配置CORS(Spring boot) 1、直接写个filter拦截所有请求在response头里加上面的字段.
2、继承WebMvcConfigurerAdapter重写addCorsMappings
public class CorsConfig extends WebMvcConfigurerAdapter {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/**").allowedHeaders("*").allowedMethods("*").allowedOrigins("*"); }}
自定义Filter,注册
@Bean public FilterRegistrationBean corsFilter() {UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); config.setAllowCredentials(true); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0); //配置CorsFilter优先级return bean; }
@CrossOrigin注解
@CrossOrigin(origins = "*",allowCredentials = "true",allowedHeaders = "*",methods = RequestMethod.GET,maxAge = 3600)
(三) 出现的问题 即使配置了响应头字段,还是不能跨域访问,经过反复测试发现,GET请求可以访问,PUT请求无法访问,突然想起:非简单请求会发起一个OPTIONS方法的预检请求,而我用了Spring Security拦截了所有请求,只开放部分请求,所以需要在Spring Security中设置不拦截OPTIONS方法的请求。
解决方法
配置Spring Security,设置不拦截OPTIONS请求
HttpSecurity#authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll()
配置CorsFilter优先级,优于Spring Security配置即可!
【Spring|Spring Security拦截器引起Java CORS跨域失败的问题及解决】以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
推荐阅读
- Activiti(一)SpringBoot2集成Activiti6
- SpringBoot调用公共模块的自定义注解失效的解决
- 解决SpringBoot引用别的模块无法注入的问题
- 2018-07-09|2018-07-09 Spring 的DBCP,c3p0
- spring|spring boot项目启动websocket
- Spring|Spring Boot 整合 Activiti6.0.0
- Spring集成|Spring集成 Mina
- springboot使用redis缓存
- Spring|Spring 框架之 AOP 原理剖析已经出炉!!!预定的童鞋可以识别下发二维码去看了
- Spring|Spring Boot之ImportSelector