Spring Security拦截器引起Java CORS跨域失败的问题

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量1.6w 收藏 15
点赞数 6
分类专栏: java 文章标签: cors spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhaojian/article/details/78930591
版权

在已设置CORS的项目中加入Spring Security,导致跨域访问失败,一开始以为是设置错CORS的问题,后来才发现是因为Spring Security的拦截冲突引起的。

(一) CORS介绍

CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

response响应头:

响应头字段名称作用
Access-Control-Allow-Origin允许访问的客户端的域名
Access-Control-Allow-Credentials是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。
Access-Control-Allow-Headers允许服务端访问的客户端请求头
Access-Control-Allow-Methods允许访问的HTTP请求方法
Access-Control-Max-Age用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

  1. 直接写个filter拦截所有请求在response头里加上面的字段.

  2. 继承WebMvcConfigurerAdapter重写addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter {
     @Override
     public void addCorsMappings(CorsRegistry registry) {
         registry.addMapping("/**")
                 .allowedHeaders("*")
                 .allowedMethods("*")
                 .allowedOrigins("*");
     }
}
  1. 自定义Filter,注册
@Bean
 public FilterRegistrationBean corsFilter() {
     UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
     CorsConfiguration config = new CorsConfiguration();
     config.addAllowedOrigin("*");
     config.setAllowCredentials(true);
     config.addAllowedHeader("*");
     config.addAllowedMethod("*");
     source.registerCorsConfiguration("/**", config);

     FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
     bean.setOrder(0);//配置CorsFilter优先级
     return bean;
 }
  1. @CrossOrigin注解
@CrossOrigin(
        origins = "*",
        allowCredentials = "true",
        allowedHeaders = "*",
        methods = RequestMethod.GET,
        maxAge = 3600
)

(三) 出现的问题:

即使配置了响应头字段,还是不能跨域访问,经过反复测试发现,GET请求可以访问,PUT请求无法访问,突然想起:非简单请求会发起一个OPTIONS方法的预检请求,而我用了Spring Security拦截了所有请求,只开放部分请求,所以需要在Spring Security中设置不拦截OPTIONS方法的请求.

解决方法:

  1. 配置Spring Security,设置不拦截OPTIONS请求
HttpSecurity#authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS)
            .permitAll()
  1. 配置CorsFilter优先级,优于Spring Security配置即可
Ho-Jian
关注
专栏目录
Spring Security系列】跨域CORS
qq_28248897的博客
07-16 979
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 1.认识跨域 很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的跨域成为
SpringBoot-SpringSecurity跨域java设置跨域失败
SBS技术栈-晓白
01-06 1795
本文先上遇到的坑。后续会添加搭建!搭建很简单,去网上复制就行。 首先为什么要集成SpringSecurity?我的项目是Http会话即单次握手。每次访问接口需要验证用户令牌(token,请求头获取) 首先博主集成SpringSecurity之后跨域失败!(这指的是没有配置nginx情况下) 因为CORS请求是两次,一次是确定信息,一次是传递。那么第一次一定是没有token的!那么就要放行,...
跨域请求中拦截器获取不到session_一篇文章弄懂SpringBoot中WebMvcConfigurer(建议收藏学习)...
weixin_39652658的博客
12-08 763
一:简介WebMvcConfigurer是SpringBoot的一个配置类,采用JavaBean的形式来代替传统的xml配置文件形式,简化了开发中类的配置,可以自定义一些Handler,Interceptor,ViewResolver,MessageConverter。可能大家之前一直用的是WebMvcConfigurer的空实现类WebMvcConfigurerAdapter,但是在Java8后...
Spring Security 详解
最新发布
As_Yua的博客
07-31 3701
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
解决SpringSecurity配置了跨域后仍然报错的问题
qq_41798927的博客
04-18 811
在前后端分离的情况下,环境搭建的时候跨域问题是必不可少的。而在使用SpringSecurity后会出现虽然已经配置了跨域却还是报错的问题。 这是因为SpringSecurity相当于是AOP,会发生在跨域配置的前面。所以前端请求可以跨域过来,但是SpringSecurity的登录页请求无法发送到前端。 原因找到了,解决方法有两种,一种是单另给SpringSecurity配置,另一种是在Security进行身份验证的时候,进行判断,根据条件进行接口的跳转,这样就避免了Security给前端请求的跨域.
spring boot 使用spring security 配置cors时无效,解决办法
miniy
12-25 384
spring boot 跨域方式有多种,本文采用 实现WebMvcConfigurer接口,其他方式可自行百度 步骤 1 实现WebMvcConfigurer接口,重写addCorsMappings方法 /** * web 配置类型 */ @Configuration publicclassWebConfigimplementsWebMvcConfigurer{ /** *...
JS跨域:1.解决方案之-SpringMVC拦截器
Matrix
06-27 6924
拦截器代码。package com.wiimedia.controller;import java.util.List;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse;import org.springframework.web.servlet.Handler
Spring Security使用中Preflight请求和跨域问题详解
08-28
总结来说,Spring Security在处理跨域请求时,需要关注两个关键点:一是配置CORS过滤器以允许指定的跨域请求,二是确保Spring Security配置能正确处理Preflight(OPTIONS)请求。理解这两个概念以及它们在实际应用中...
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2333
Springboot +spring security,解决跨域问题
springboot跨域】自定义拦截器与自定义过滤器互斥、springsecurity拦截预检请求OPTIONS
weixin_41955471的博客
01-19 2546
问题描述: 由于在项目中自定义了一个拦截器,这个拦截器会在filter过滤器之前执行,并且在此中间还会被springSecurity拦截一次,前端请求会先发送一次预检请求,由于SpringSecurity对该OPTIONS请求进行了拦截,发现头部没有携带Token信息,直接返回了401的状态,浏览器认为预检请求不通过,之后的真实请求当然也认为是不通过的。 解决方案: 因为使用的是SpringBoot+SpringSecurity框架,所以需要编写Cors跨域的配置,并在WebSecurityCon
CORS跨域资源共享问题
qq_34169240的博客
06-26 877
1)CORS跨域资源共享问题问题CORS(Cross-OriginResource Sharing 跨源资源共享),当一个请求url的协议、域名、端口三者之间任意一与当前页面地址不同即为跨域。开发过程中,在本地调试,部署在本地tomcat,端口为8080。同时需要调用服务器上的API,服务器上端口为18080,所以要用到跨域。解决方法:在client端总入口处,http请求中增加头信息。如以下语...
关于Spring SecurityCORS
寻码启示
06-11 1540
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
Java服务端Cors跨域资源共享配置,解决与Spring Security冲突引起问题
weixin_34072458的博客
11-01 385
为什么80%的码农都做不了架构师?>>> ...
解决spring boot + securitycors跨域问题
weixin_46533227的博客
08-03 716
/预检请求是浏览器发现不是简单请求后,封装一个OPTIONS请求到服务器,根据服务器的返回值来判断是否可以进行跨域,//http请求配置信息 ----!todo 需要鉴权的接口,不能被允许匿名访问!// 可以的话,后面还有一次真正带数据的请求。// 给一个异常处理器,走我们自定义的拒绝访问处理器,无权限走这个处理器。// 给一个异常处理器,走我们自定义的认证失败处理器,认证失败走这个处理器。//除了上面的所有请求全部需要鉴权认证。/ 跨域的配置类。//配置预检请求通过。
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3607
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
SSM使用拦截器Interceptor后,跨域失败的解决方案
二木成林
03-13 1455
由于前后端分离,前端使用的是Vue,后端使用的是SSM,所以跨域的解决方案是使用@CrossOrigin注解 @CrossOrigin(origins = "*", allowCredentials = "true") 但是使用SpringMVC的拦截器Interceptor后,就会跨域失败了,拦截器是拦截登录操作,判断用户是否登录 @CrossOrigin(origins = "*", allowCredentials = "true") public class LoginIntercep
Spring security 框架
m0_58203725的博客
11-10 442
关于Spring Security学习及搭建过程的详解 该内容仅是自己对Spring Security的一些理解,如有不足,请多指点
springboot跨域配置类
qq_34093116的博客
11-26 490
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigurationSource; import org.springf.
11.Spring security跨域问题
EdSheeran的博客
03-26 9691
文章目录*跨域问题**11.1什么是CORS**11.2Spring处理方案**11.2.1`@CrossOrigin`**11.2.2`addCorsMappings`**11.2.3`CorsFilter`**11.3Spring Security处理方案**11.3.1特殊处理`OPTIONS`请求**11.3.2继续使用`CorsFilter`**11.3.3专业解决方案* 跨域问题 11.1什么是CORS CORS(Cross-Origin Resource Sharing)是由W3C制定的一种
如何使用Spring Security解决CORS跨域问题
05-19
Spring Security提供了一种解决CORS跨域问题的方法,即使用CorsFilter。CorsFilter是一个Servlet过滤器,可以在处理请求之前拦截请求并添加CORS头信息。 要使用CorsFilter,需要在Spring Security配置中添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // ... http.addFilterBefore(corsFilter(), ChannelProcessingFilter.class); } @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin("*"); // 允许所有域名跨域访问 config.addAllowedMethod("*"); // 允许所有请求方法 config.addAllowedHeader("*"); // 允许所有请求头 source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 在上面的代码中,我们创建了一个CorsFilter的Bean,并将其添加到Spring Security的Filter chain中。在CorsFilter的配置中,我们允许所有的请求来源、请求方法和请求头。 此外,我们还需要在前端发送请求时添加CORS头信息。例如,在使用axios发送请求时,可以添加以下配置: ```javascript axios.defaults.headers.common['Access-Control-Allow-Origin'] = '*'; ``` 通过以上配置,就可以解决CORS跨域问题了。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值