Spring Security攔截器引起Java CORS跨域失敗的問題及解決
在已設(shè)置CORS的項(xiàng)目中加入Spring Security,導(dǎo)致跨域訪問失敗,一開始以為是設(shè)置錯(cuò)CORS的問題,后來才發(fā)現(xiàn)是因?yàn)镾pring Security的攔截沖突引起的。
(一) CORS介紹CORS是一個(gè)W3C標(biāo)準(zhǔn),全稱是”跨域資源共享”(Cross-origin resource sharing)。
它允許瀏覽器向跨源服務(wù)器,發(fā)出XMLHttpRequest請(qǐng)求,從而克服了AJAX只能同源使用的限制。
response響應(yīng)頭響應(yīng)頭字段名稱 作用 Access-Control-Allow-Origin 允許訪問的客戶端的域名 Access-Control-Allow-Credentials 是否允許請(qǐng)求帶有驗(yàn)證信息,若要獲取客戶端域下的cookie時(shí),需要將其設(shè)置為true。 Access-Control-Allow-Headers 允許服務(wù)端訪問的客戶端請(qǐng)求頭 Access-Control-Allow-Methods 允許訪問的HTTP請(qǐng)求方法 Access-Control-Max-Age 用來指定預(yù)檢請(qǐng)求的有效期(秒),在有效期內(nèi)不在發(fā)送預(yù)檢請(qǐng)求直接請(qǐng)求。Cors詳細(xì)介紹請(qǐng)看阮一峰的跨域資源共享 CORS 詳解
(二) 服務(wù)端配置CORS(Spring boot)1、直接寫個(gè)filter攔截所有請(qǐng)求在response頭里加上面的字段.
2、繼承WebMvcConfigurerAdapter重寫addCorsMappings
public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedHeaders('*') .allowedMethods('*') .allowedOrigins('*'); }}
自定義Filter,注冊(cè)
@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin('*'); config.setAllowCredentials(true); config.addAllowedHeader('*'); config.addAllowedMethod('*'); source.registerCorsConfiguration('/**', config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0);//配置CorsFilter優(yōu)先級(jí) return bean; }
@CrossOrigin注解
@CrossOrigin(origins = '*',allowCredentials = 'true',allowedHeaders = '*',methods = RequestMethod.GET,maxAge = 3600)(三) 出現(xiàn)的問題
即使配置了響應(yīng)頭字段,還是不能跨域訪問,經(jīng)過反復(fù)測(cè)試發(fā)現(xiàn),GET請(qǐng)求可以訪問,PUT請(qǐng)求無法訪問,突然想起:非簡(jiǎn)單請(qǐng)求會(huì)發(fā)起一個(gè)OPTIONS方法的預(yù)檢請(qǐng)求,而我用了Spring Security攔截了所有請(qǐng)求,只開放部分請(qǐng)求,所以需要在Spring Security中設(shè)置不攔截OPTIONS方法的請(qǐng)求。
解決方法配置Spring Security,設(shè)置不攔截OPTIONS請(qǐng)求
HttpSecurity#authorizeRequests() .antMatchers(HttpMethod.OPTIONS) .permitAll()
配置CorsFilter優(yōu)先級(jí),優(yōu)于Spring Security配置即可!
以上為個(gè)人經(jīng)驗(yàn),希望能給大家一個(gè)參考,也希望大家多多支持好吧啦網(wǎng)。
相關(guān)文章:
1. XML入門精解之結(jié)構(gòu)與語法2. 秒殺場(chǎng)景的緩存、隊(duì)列、鎖使用Redis優(yōu)化設(shè)計(jì)方案3. React優(yōu)雅的封裝SvgIcon組件示例4. CSS Hack大全-教你如何區(qū)分出IE6-IE10、FireFox、Chrome、Opera5. ASP中格式化時(shí)間短日期補(bǔ)0變兩位長(zhǎng)日期的方法6. jsp文件下載功能實(shí)現(xiàn)代碼7. ASP基礎(chǔ)知識(shí)Command對(duì)象講解8. ASP腳本組件實(shí)現(xiàn)服務(wù)器重啟9. jsp+mysql實(shí)現(xiàn)網(wǎng)頁(yè)的分頁(yè)查詢10. jsp+servlet實(shí)現(xiàn)猜數(shù)字游戲
網(wǎng)公網(wǎng)安備