关于CORS与PreFlight
当客户端与服务器端并不是运行在同一个服务器上时,默认是不允许跨域访问的,在基于Spring MVC框架的项目中(包括添加了spring-boot-starter-web
的Spring Boot项目),添加配置类即可解决此问题:
@Slf4j
@Configuration
public class WebMvcConfiguration implements WebMvcConfigurer {
public WebMvcConfiguration() {
log.debug("加载配置类:WebMvcConfiguration");
}
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOriginPatterns("*")
.allowedMethods("*")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(3600);
}
}
当客户端提交异步请求,且自定义了特定的请求头时(例如Authorization
),会被视为“复杂请求”,对于复杂请求,在处理过程中,会先执行PreFlight(预检),其具体表现是会先向服务器端提交OPTIONS
类型的请求,如果此请求不被允许,将出现以下错误:
(例如:携带JWT向服务器端发起“添加管理员”的请求,由于请求路径并不在Security的白名单中,则不允许访问,进而导致预检不通过,所以出现此错误)
Access to XMLHttpRequest at 'http://localhost:9081/admins/add-new' from origin 'http://localhost:8888' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.
在使用了Security框架的项目中,可以在Security的配置类中,对所有OPTIONS
类型的请求(即:所有预检)直接放行即可:
http.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll();
或者,调用HttpSecurity
对象的cors()
方法,此方法会为Security框架注册一个解决此问题的过滤器(CorsFilter
),也可解决此问题:
http.cors();
另外,对于每个浏览器对同一个服务器的复杂请求而言,预检只会在第1次请求时发生,一旦通过预检,后续的请求中将不再需要预检!这是许多浏览器的机制(当浏览器没有禁用缓存时)!