先放出我的详细报错信息
Access to XMLHttpRequest at ‘http://localhost:8080/findUserLogPage’ from origin ‘http://localhost:4200’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.
很明显的跨域安全问题
我当时的操作是有一个token, 要验证这个token之后才能查询所有用户的登陆log。以前是能运行的, 但是后来我把验证token的操作加入了我的拦截器中, 就爆出了如上错误。
这里我先放一下之前的代码
String token = request.getHeader("token");
// 所有请求第一个进入的方法
String reqURL = request.getRequestURL().toString();
// String ip = request.getRemoteHost();
if (handler instanceof HandlerMethod) {
HandlerMethod h = (HandlerMethod) handler;
String sb =
// Controller 的包名
"Controller : " + h.getBean().getClass().getName() + "\n" +
// 方法名称
"Method : " + h.getMethod().getName() + "\n" +
// 请求方式 post\put\get 等等
"RequestMethod : " + request.getMethod() + "\n" +
// 部分请求链接
"URI : " + request.getRequestURI() + "\n" +
// 完整的请求链接
"AllURI : " + reqURL + "\n" +
"-----------------------" + new Date() +
"-------------------------------------\n";
logger.info(sb);
}
if (null != token) {
return JwtUtil.verity(token);
}
return false;
}
在这之后我就疯狂百度, 查询为什么加了拦截器之后会出现跨域的安全问题。
后来 我看了(https://blog.csdn.net/achang07/article/details/79380990)这篇文章后有了一点点理解。 是OPTION的坑
在发出复杂请求的之前,就会出现一次OPTIONS请求。
OPTIONS请求可以被称作一次嗅探请求,通过这个方法,客户端可以在采取具体的资源请求之前,决定对资源采取何种必要措施。
由于我的问题出现在请求内容为json的时候,所以是复杂请求,提前进行了一次OPTIONS请求。
这个OPTIONS请求中没有增加请求头, 所以无法通过, 被拦截下来了
解决办法
目前的项目中,不需要考虑的太复杂,我的处理就是放行OPTIONS请求。
我在拦截器中加入如下代码就可以通过了(放在最前面)
//拦截器取到请求先进行判断,如果是OPTIONS请求,则放行
if("OPTIONS".equals(request.getMethod().toUpperCase())) {
System.out.println("Method:OPTIONS");
return true;
}
还有一个问题是, 当时我看到有的人说, 有些黑客会伪装OPTION请求去拿到我们API, 然后 我也不知道有什么更好的办法。
先留下疑问, 以后解决了就更新!