has been blocked by CORS policy: Response to preflight request doesn‘t pass access control check

已于 2022-09-08 17:00:13 修改
阅读量2.5w 收藏 15
点赞数 13
分类专栏: java 文章标签: CORS policy 自定义header跨域 跨域问题 header跨域 header跨域报错
于 2022-08-26 11:18:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_avatar_2019/article/details/126538547
版权

目录

1、报错场景

可能你用postman或者apifox测试接口没有任何问题,但是前端一旦加入就报CORS跨域问题,甚至说本地联调都OK,但是部署到服务器上就出现跨域问题,其实过来过去还是因为请求的发起没有被后端允许。

报错如下:

Access to XMLHttpRequest at 'http://xxxx/xxxx-ui' 
from origin 'http://xxxx/xxxx/xxxx-server' has been blocked by CORS policy: 
Response to preflight request doesn't pass access control check: 
It does not have HTTP ok status.

2、报错原因及解决(默认Header参数的情况)

加个过滤器或者拦截器,把所有的请求响应都处理一下,根据场景不同,可能你只需要下面其中一种方式就能解决问题;

2.1、处理请求拦截

package xxx;

/**
 * 配置自定义拦截器
 */
@Configuration
@Slf4j
public class InterceptorConfig implements WebMvcConfigurer {

	public void addInterceptors(InterceptorRegistry registry) {
		// 拦截所有请求
		registry.addInterceptor(globalInterceptor()).addPathPatterns("/**");
		log.info("系统拦截器初始化完成");
	}
	
	@Bean
	public GlobalInterceptor globalInterceptor() {
		return new GlobalInterceptor();
	}

	// 拦截器跨域配置
	@Override
	public void addCorsMappings(CorsRegistry registry) {
		// 跨域路径
		CorsRegistration cors = registry.addMapping("/**");
		// 可访问的外部域
		cors.allowedOrigins("*");
		// 支持跨域用户凭证
		//cors.allowCredentials(true);
		//cors.allowedOriginPatterns("*");
		// 设置 header 能携带的信息
		cors.allowedHeaders("*");
		// 支持跨域的请求方法
		cors.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS");
		// 设置跨域过期时间,单位为秒
		cors.maxAge(3600);
	}

	// 简写形式
//	@Override
//	public void addCorsMappings(CorsRegistry registry) {
//		registry.addMapping("/**")
//				.allowedOrigins("*")
//				//.allowCredentials(true)
//				//.allowedOriginPatterns("*")
//				.allowedHeaders("*")
//				.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
//				.maxAge(3600);
//	}

}

2.2、处理响应过滤

package xxx;

@Order(1)
@WebFilter(filterName = "corsFilter", urlPatterns = {"/*"})
public class CORSFilter implements Filter{

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("初始化CORS过滤器...");
    }
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "*"); //  这里最好明确的写允许的域名
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type,Access-Token,Authorization,ybg,x_access_token");
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
        System.out.println("销毁CORS过滤器.");
    }
}

3、报错原因及解决(自定义Header参数的情况)

如果是自定义Header参数的话,前端发起ajax请求后,浏览器首先会发起一个预检请求(OPTIONS),然后才是业务请求,所以在预检请求的时候浏览器就已经输出跨域报错了,因此针对自定义Header需要把这个预检请求排除掉;

package xxx;

/**
 * 过滤器
 */
@Slf4j
public class GlobalInterceptor implements HandlerInterceptor {
	
	//...
	
	/**
	 * 拦截所有请求,校验url和token
	 */
	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
		//加上校验放行
		if(request.getMethod().equals("OPTIONS")){
			return true;
		}else{
			///
		}
		return false;
	}
	
	//...
}
cgv3
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
完美解决axios跨域请求出错的问题
01-19
错误信息: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://localhost:9000’ is therefore not allowed access. The response had HTTP status code 403 随着前端框架的发展,如今前后端数据分离已经成了趋势,也就是说,前端只需要用ajax请求后端的数据合
前端报错:has been blocked by CORS policy: Response to preflight request doesn‘t pass access control chec
小洪帽i的博客
04-17 3186
AccesstoXMLHttpRequestat'https://zxxxx.com/'fromorigin'http://zxxxx.com'hasbeenblockedbyCORSpolicy:Responsetopreflightrequestdoesn'tpassaccesscontrolcheck:ItdoesnothaveHTTPokstatus.
CORS解决跨域as been blocked by CORS policy: Response to preflight request doesn‘t pass access control ch
qq_62646841的博客
03-13 620
处理cors跨域
跨域问题解决办法 (has been blocked by CORS policy:Response……) 原因及解决办法
轻风细雨_林木木
03-20 3万+
参考:https://www.cnblogs.com/wyw0905/p/14990707.html 前端报错 has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. 什么是CORS CORS全称是跨域资源共.
Allow-CORS_-Access-Control-Allow-Origin_v0.1.2.crx
02-27
此插件为跨域插件,打开后可跨域访问接口,旧版浏览器可直接拖到扩展程序中安装,新版浏览器需要将扩展名修改成rar并解压,然后点击“加载已解压的扩展程序”安装。 ======================插件概述谷歌译文====================== 轻松将(Access-Control-Allow-Origin:*)规则添加到响应标头。 允许CORS:通过Access-Control-Allow-Origin,您可以轻松地在Web应用程序中执行跨域Ajax请求。 只需激活插件并执行请求。默认情况下(在JavaScript API中),CORS或跨源资源共享在现代浏览器中被阻止。安装此加载项将使您可以解除阻止此功能。请注意,将插件添加到浏览器后,默认情况下它处于非活动状态(工具栏图标为灰色C字母)。如果要激活加载项,请按一次工具栏图标。图标将变为橙色的C字母。 ======================插件概述谷歌译文====================== ========================插件概述原文======================== Easily add (Access-Control-Allow-Origin: *) rule to the response header. Allow CORS: Access-Control-Allow-Origin lets you easily perform cross-domain Ajax requests in web applications. Simply activate the add-on and perform the request. CORS or Cross Origin Resource Sharing is blocked in modern browsers by default (in JavaScript APIs). Installing this add-on will allow you to unblock this feature. Please note that, when the add-on is added to your browser, it is in-active by default (toolbar icon is grey C letter). If you want to activate the add-on, please press on the toolbar icon once. The icon will turn to orange C letter. ========================插件概述原文========================
Vue报错has been blocked by CORS policy: Response to preflight request doesn‘t pass access controlcheck
热门推荐
风不知从何处起的小屋
05-15 18万+
全部的报错信息: Access to XMLHttpRequest at 'http://127.0.0.1:7772/person/sysOrgInfo/query-next-org-emp?id=xxx' from origin 'http://localhost:8086' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Contro
浏览器预检请求返回400 has been blocked by CORS policy: Response to preflight request doesn’t pass access cont
weixin_53512283的博客
04-02 3万+
这个问题也是很过分头一次遇到,原因是谷歌浏览器在有跨域CORS)请求时,会先发送一个preflight(预检)请求,之后才会发送fetch请求。 CORS:跨源资源共享(CORS)(或通俗地译为跨域资源共享)是一种基于HTTP头的机制,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),这样浏览器可以访问加载这些资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的"预检"请求。在预检中,浏览器发...
django:has been blocked by CORS policy: Response to preflight request doesn‘t pass
喵酱
04-02 3720
django:has been blocked by CORS policy: Response to preflight request doesn't pass
SpringBoot解决跨域问题(has been blocked by CORS policy: Response to preflight request doesn‘t pass...)
whitek387的博客
02-16 2万+
SpringBoot中在包含有大量的注解,针对跨域问题,也提供了对应的注解@CrossOrigin @CrossOrigin源码参考: @Target({ ElementType.METHOD, ElementType.TYPE }) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface CrossOrigin { String[] DEFAULT_ORIGINS = { "*" }; String[] DEF
has been blocked by CORS policy: Response异常问题的 解决
shenxiaomo1688的博客
06-07 1万+
项目做前后端分离后,第一次遇到这种问题,在这里记录解决的过程。因为采用前后端分离开发,前端和和后台使用的端口号不一致。顺便说下跨域问题的来源: 1、访问协议不同 ,如http和https之间 2、访问地址不同 3、端口号不同 ...
Your page is blocked due to a security的解决方案
05-05
关于Your page is blocked due to a security的解决方案
corsyusha:简单快速的代理,可在针对现有API进行原型设计时绕过CORS问题,而不必担心CORS
04-30
has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch ...
230207-031shopDemo(抽离跨域异常处理管道中间件之CorsExceptionHandlerMiddleware)
02-07
/// 摘要:  /// 该管道中间件类主要为了集中解决在由vue/uni-app前端项目跨域... /// 3、“has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not hav
230208-033shopDemo(抽离跨域(Cors)限制依赖注入和管道中间件之AddCors和UseCors)
02-08
Cors(跨域)限制中间件可以解决一些Cors(跨域)异常例如:“' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.”。...
java防跨站点源码
01-07
配置化防跨站点处理,很好的处理防跨站点,配置简单
2014年311教育学专业基础综合答案解析.pdf
04-24
教育学考研,考研真题,全国硕士研究生统一考试教育学专业基础综合真题及解析,311历年真题,参考答案,答案解析。教育学统考。
大语言模型安全测试方法
04-24
4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大中华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大中华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大中华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大中华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围,确保AI应用各个方面都经过严格的安全性和合规性
基于ssm电商网站的设计与实现(部署视频)_kaic.zip
最新发布
04-24
目 录 目 录 1 绪论 1.1 研究背景 1.2 目的和意义 1.3 论文结构安排 2 相关技术 2.1 SSM框架介绍 2.2 B/S结构介绍 2.3 MYSQL数据库介绍 3 系统分析 3.1 系统可行性分析 3.1.1 技术可行性分析 3.1.2 经济可行性分析 3.1.3 运行可行性分析 3.2 系统性能分析 3.2.1 易用性指标 3.2.2 可扩展性指标 3.2.3 健壮性指标 3.2.4 安全性指标 3.3 系统流程分析 3.3.1 操作流程分析 3.3.2 登录流程分析 3.3.3 信息添加流程分析 3.3.4 信息删除流程分析 4 系统设计 4.1 系统概要设计 4.2 系统功能结构设计 4.3 数据库设计 4.3.1 数据库E-R图设计 4.3.2 数据库表结构设计 5 系统实现 5.1用户信息管理 5.2 商品信息管理 5.3商品分类管理 5.1商品资讯管理 6 系统测试 6.1 系统测试的特点  6.2 系统功能测试 6.2.1 登录功能测试 6.2.2 添加类别功能测试 6.3 测试结果分析 结 论 致 谢 参考文献
has been blocked by cors polic
03-17
"被CORS策略阻止" 意思是你的网站请求被浏览器阻止了,这是因为浏览器的同源策略限制了跨域请求。CORS(Cross-Origin Resource Sharing) 是一种机制,它使用额外的 HTTP 头来告诉浏览器,让运行在一个 origin (domain) 上的 web 应用被准许访问来自不同源服务器上的指定的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cgv3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值