那些遇到过的问题

Spring Boot CORS过滤器 - CORS预检频道没有成功

ale*_*oid 25 spring spring-mvc spring-security cors spring-boot

我需要在我的Spring Boot Web应用程序中添加CORS过滤器.

我已经添加了CORS映射,如以下文档中所述http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html

这是我的配置:

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // @formatter:off   
        registry
            .addMapping("/**")
            .allowedOrigins(CrossOrigin.DEFAULT_ORIGINS)
            .allowedHeaders(CrossOrigin.DEFAULT_ALLOWED_HEADERS)
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .maxAge(3600L);
        // @formatter:on
    }

...

}
Run Code Online (Sandbox Code Playgroud)

现在,当我尝试访问我的API时,我收到以下错误:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/api/v1.0/user. (Reason: CORS preflight channel did not succeed).
Run Code Online (Sandbox Code Playgroud)

这是来自FF控制台的屏幕截图:

在此输入图像描述

我做错了什么以及如何正确配置CORS标头以避免此问题?

ale*_*oid 52

我已经通过创建一个新的CORS过滤器解决了这个问题:

@Component
public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else { 
            filterChain.doFilter(request, response);
        }
    }
}
Run Code Online (Sandbox Code Playgroud)

并将其添加到securty配置:

.addFilterBefore(new CorsFilter(), ChannelProcessingFilter.class)
Run Code Online (Sandbox Code Playgroud)

更新 - 现在我切换到更现代化的方式:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            .cors()
        .and()

        ...
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"));
        configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token"));
        configuration.setExposedHeaders(Arrays.asList("x-auth-token"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

}
Run Code Online (Sandbox Code Playgroud)

小智 10

有同样的问题让CORS与spring数据休息一起使用,这就是我使用的过滤器代码.

    /**
 * Until url{https://jira.spring.io/browse/DATAREST-573} is fixed
 * 
 * @return
 */
@Bean
public CorsFilter corsFilter() {

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    //config.setAllowCredentials(true); // you USUALLY want this
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}
Run Code Online (Sandbox Code Playgroud)

Udi*_*tha 7

这非常简单并且运行良好。在您为 Web Security Configurations 编写的类中,输入此行httpSecury.cors();


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {

         httpSecurity.cors();     //  This enables cors

        // Your codes

    }

}
Run Code Online (Sandbox Code Playgroud)

Gab*_*tes 5

按照两个教程后我仍然遇到 CORS 错误:

首先,我遵循网络安全指南:https://spring.io/guides/gs/securing-web/#scratch

其次,我遵循了 CORS 指南:https://spring.io/guides/gs/rest-service-cors/#global-cors-configuration

为了在遵循这些指南后解决我的问题,我必须添加http.cors()http 安全性。

@Override
protected void configure(HttpSecurity http) throws Exception {
  http.cors()
  .and()
    ...
}
Run Code Online (Sandbox Code Playgroud)

添加.cors()允许它使用@Bean我为我的 CORS 配置声明的。

@Bean
public WebMvcConfigurer corsConfigurer() {
  return new WebMvcConfigurer() {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/**").allowedOrigins("http://localhost:4200");
    }
  };
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

35973 次

最近记录:

5 年,11 月 前
Access-Control-Allow-Origin标头不起作用 - 我做错了什么? 12
更多相关链接
相关归档
成功登录后,Spring Security会重定向到上一页 53
如何在Spring Boot Actuator的Trace中包含JSON响应体? 15
从Spring Controller获取Web App根目录 12
弹簧mvc中的多视图解析器 9
无法自动装配字段,但我有定义 7
如何确保Spring Boot额外的Jackson模块具有相同的版本? 7
禁用Apache tiles 3中的多语言选项 5
Spring Boot EnableCaching和Cacheable注释无效 5
无法访问javax.servlet.Filter; 找不到javax.servlet.Filter的类文件 3
如何进行javax验证只显示一条错误消息 1
难疑归档
比较Java枚举成员:==或equals()? 1645
C#的隐藏功能? 1475
检索HTML元素的位置(X,Y) 1418
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
如何撤消"git commit --amend"而不是"git commit" 1198
在React JSX中循环 1131
为什么有两种方法可以在Git中取消暂存文件? 1109
将ArrayList <String>转换为String []数组 1102
如何在同一分支上的两个不同提交之间区分相同的文件? 1077
Vim中的remap,noremap,nnoremap和vnoremap映射命令有什么区别? 1045