Spring Security拦截器引起Java CORS跨域失败的问题及解决

Spring Security拦截器引起Java CORS跨域失败的问题及解决

在已设置CORS的项目中加入Spring Security，导致跨域访问失败，一开始以为是设置错CORS的问题，后来才发现是因为Spring Security的拦截冲突引起的。

(一) CORS介绍

CORS是一个W3C标准，全称是”跨域资源共享”（Cross-origin resource sharing）。

它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。

response响应头

响应头字段名称

作用

Access-Control-Allow-Origin

http:// 允许访问的客户端的域名

Access-Control-Allow-Credentials

是否允许请求带有验证信息，若要获取客户端域下的cookie时，需要将其设置为true。

Access-Control-Allow-Headers

允许服务端访问的客户端请求头

http://

Access-Control-Allow-Methods

允许访问的HTTP请求方法

Access-Control-Max-Age

用来指定预检请求的有效期(秒)，在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨xHucbDpG域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

1、直接写个filter拦截所有请求在response头里加上面的字段.

2、继承WebMvcConfigurerAdapter重写addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/**")

.allowedHeaders("*")

.allowedMethods("*")

.allowedOrigins("*");

}

}

自定义Filter,注册

@Bean

public FilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("*");

config.setAllowCredentials(true);

config.addAllowedHeader("*");

config.addAllowedMethod("*");

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));

bean.setOrder(0);//配置CorsFilter优先级

return bean;

}

@CrossOrigin注解

@CrossOrigin(

origins = "*",

allowCredentials = "true",

allowedHeaders = "*",

methods = RequestMethod.GET,

maxAge = 3600

)

(三) 出现的问题

即使配置了响应头字段，还是不能跨域访问，经过反复测试发现，GET请求可以访问，PUT请求无法访问，突然想起:非简单请求会发起一个OPTIONS方法的预检请求，而我用了Spring Security拦截了所有请求，只开放部分请求，所以需要在Spring Security中设置不拦截OPTIONS方法的请求。

解决方法

配置Spring Security,设置不拦截OPTIONS请求

HttpSecurity#authorizeRequests()

.antMatchers(HttpMethod.OPTIONS)

.permitAll()

配置CorsFilter优先级，优于Spring Security配置即可！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。