SpringBoot 2/3 实现跨域报错:When allowCredentials is true, xxxxxxx , using “allowedOriginPatterns“ instead

最新推荐文章于 2024-05-20 15:06:17 发布
最新推荐文章于 2024-05-20 15:06:17 发布
阅读量805 收藏 4
点赞数 2
分类专栏: # SpringBoot 文章标签: spring boot java spring 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng2hui1314/article/details/131035556
版权

目录

环境: SpringBoot 2.7.12Spring 5.3.27

SpringBoot 3.xSpring 6.x)版本也会受影响。

CorsFilter 方式设置跨域

使用 SpringBoot 3.1.0 设置跨域时,想着直接把之前的代码拷贝过来直接用,心里美滋滋。

/**
 * @author roc
 * @date 2019/1/25
 */
@Configuration
public class CoreFilter {
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("*");
        config.setAllowCredentials(true);
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);

        return new CorsFilter(source);
    }
}

运行项目,开整。

  • 启动没问题
  • Postman 测试接口通过
  • Vue 调试接口,axios 一把梭
  • 运行项目
  • Emmmm,浏览器访问接口提示跨域,且 Java 报错如下:
When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the
 "Access-Control-Allow-Origin" response header. 
 
To allow credentials to a set of origins, list them explicitly or consider using "allowedOriginPatterns" instead.

翻译如下:

错误原因就是字面意思:当 allowCredentialstrue 时,allowedOrigins不能包含特殊值 “*”,因为它不能在 “Access-Control-Allow-Origin” 响应头中设置。
若要允许一组来源的凭据,请显式列出它们,或者考虑使用 “allowedOriginPatterns”

在这里插入图片描述

??? 这是啥时候有的限制,直接肝 Spring 源码(5.3.27)。

最终在 org.springframework.web.cors.CorsConfiguration#validateAllowCredentials类中发现了这一步校验:

/**
* Validate that when {@link #setAllowCredentials allowCredentials} is {@code true},
* {@link #setAllowedOrigins allowedOrigins} does not contain the special
* value {@code "*"} since in that case the "Access-Control-Allow-Origin"
* cannot be set to {@code "*"}.
* @throws IllegalArgumentException if the validation fails
* @since 5.3
*/
public void validateAllowCredentials() {
	if (this.allowCredentials == Boolean.TRUE && 
		this.allowedOrigins != null && this.allowedOrigins.contains(ALL)) {
	throw new IllegalArgumentException(
				"When allowCredentials is true, allowedOrigins cannot contain the special value \"*\" " +
						"since that cannot be set on the \"Access-Control-Allow-Origin\" response header. " +
						"To allow credentials to a set of origins, list them explicitly " +
						"or consider using \"allowedOriginPatterns\" instead.");
	}
}

从注释中可以发现,从 5.3 版本就有了这个限制了,所有后续的使用也将有所改变。

项目要显式使用估计不大可能,一大堆系统需要调用,挨个配置与维护着实有些麻烦(But,条件允许的情况下,还是尽可能的规范)。毕竟接口都有登录鉴权,问题不大;直接简单点,使用 allowedOriginPatterns 一把梭,代码更改如下:

/**
 * @author roc
 * @date 2019/1/25
 */
@Configuration
public class CoreFilter {
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOriginPattern("*");  // 不是 addAllowedOrigin
        config.setAllowCredentials(true);
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source));
        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);

        return new CorsFilter(source);
    }
}

运行项目,开整。

  • 启动没问题
  • Postman 测试接口通过
  • Vue 调试接口,axios 一把梭
  • 运行项目,没问题,收工。

下面整理几个设置跨域的方式,如果有其他常用的方式也可以 call me。

补充:通过 addCorsMappings 实现跨域


@Configuration
public class CorsConfigurer implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")  // 拦截所有的请求
    	//.allowedOrigins("*")  
       .allowedOriginPatterns("*")
       .allowCredentials(true)
       .allowedMethods("*")   // 允许跨域的方法,可以单独配置
       .allowedHeaders("*");  // 允许跨域的请求头,可以单独配置
    }
    
}

与使用 CorsFilter 方式一样,当 allowCredentialstrue时,不可以将 allowedOrigins 设置为 *,必须用 allowedOriginPatterns。否则最终也会到 CorsConfiguration#validateAllowCredentials 方法中的校验。

/**
* Validate that when {@link #setAllowCredentials allowCredentials} is {@code true},
* {@link #setAllowedOrigins allowedOrigins} does not contain the special
* value {@code "*"} since in that case the "Access-Control-Allow-Origin"
* cannot be set to {@code "*"}.
* @throws IllegalArgumentException if the validation fails
* @since 5.3
*/
public void validateAllowCredentials() {
	if (this.allowCredentials == Boolean.TRUE && 
		this.allowedOrigins != null && this.allowedOrigins.contains(ALL)) {
	throw new IllegalArgumentException(
				"When allowCredentials is true, allowedOrigins cannot contain the special value \"*\" " +
						"since that cannot be set on the \"Access-Control-Allow-Origin\" response header. " +
						"To allow credentials to a set of origins, list them explicitly " +
						"or consider using \"allowedOriginPatterns\" instead.");
	}
}

补充:通过 @CrossOrigin 实现跨域

@CrossOrigin 可以标注类和单个方法。

标注类

Controller 请求路径下的所有方法都允许跨域。

@CrossOrigin // 类添加注解
@RestController
@RequestMapping("/test")
public class TestController {

    @RequestMapping(value = "/test", method = RequestMethod.GET)
    @ResponseBody
    public String test() {
    	return "Success";
    }

    @RequestMapping(value = "/test1", method = RequestMethod.GET)
    @ResponseBody
    public String test1() {
    	return "Success";
    }
    
}

/test/test/test/test1 都允许跨域。

标注方法

仅标注的方法允许跨域。

@RestController
@RequestMapping("/test")
public class TestController {

	@CrossOrigin // 方法添加注解
    @RequestMapping(value = "/test", method = RequestMethod.GET)
    @ResponseBody
    public String test() {
    	return "Success";
    }
   
    @RequestMapping(value = "/test1", method = RequestMethod.GET)
    @ResponseBody
    public String test1() {
    	return "Success";
    }
    
}
  • /test/test:允许跨域。
  • /test/test1:不允许跨域。

在这里插入图片描述
个人博客:Roc’s Blog

Roc.Chang
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ELK安装配置学习笔记
glisten0317的博客
08-30 1098
ELK(filebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
Python基础知识资料收集库
01-03 2015
对于开始想输出 “Hello 世界” 的用户,以下资料值得珍藏^~^ 1:为什么学习Python 家里有在这个IT圈子里面,也想让我接触这个圈子,然后给我建议学的Python, 然后自己通过百度和向有学过Python的同学了解了Python,Python这门语言,入门比较简单, 它简单易学,生态圈比较强大,涉及的地方比较多,特别是在人工智能,和数据分析这方面。在未来我觉得是往自动化, 人工...
SpringBoot工具库:解决SpringBoot2.*版本跨域问题
拾一二的博客
09-01 1468
Spring Boot项目中,常见的几种解决跨域问题的方式如下: 加入CORS过滤器:使用CorsFilter类,将此类注册为过滤器即可。 使用@WebFilter注解:该注解可以直接在过滤器类上使用,并指定过滤的url,类似于xml文件中配置的filter。 使用注解@CrossOrigin
Spring Boot 3.x 与 Spring Boot 2.x 的对比
最新发布
良月柒
05-20 2390
Spring Boot 2.x 自发布以来,成为了许多企业应用和微服务架构的首选框架。它提供了简洁的依赖管理、自动配置、内嵌服务器以及强大的生态系统支持,极大地提高了开发效率和部署灵活性。Spring Boot 3.x 相对于 2.x 带来了许多重要的改进和新特性,包括对 Java 17 的支持、基于 Spring Framework 6 的优化、原生镜像支持以及更强大的安全特性。这些变化不仅提升了开发体验和应用性能,也为现代 Java 应用提供了更强大的功能和更高的灵活性。
python面试
weixin_30772261的博客
08-12 1375
目录 Python基础篇 1:为什么学习Python 2:通过什么途径学习Python 3:谈谈对Python和其他语言的区别 Python的优势: 4:简述解释型和编译型编程语言 5:Python的解释器种类以及相关特点? 6:位和字节的关系 7:b、B、KB、MB、GB的关系 8:PE8规范 9:通过代码实现如下转换(进制之间转换) 10:请编写一个...
面试题
good575654643的博客
11-10 3590
目录 Python基础篇 1:为什么学习Python 2:通过什么途径学习Python 3:谈谈对Python和其他语言的区别 Python的优势: 4:简述解释型和编译型编程语言 5:Python的解释器种类以及相关特点? 6:位和字节的关系 7:b、B、KB、MB、GB的关系 ...
python最全面试题!
Mr.Sheep的博客
08-12 5038
Python基础篇 1:为什么学习Python 家里有在这个IT圈子里面,也想让我接触这个圈子,然后给我建议学的Python, 然后自己通过百度和向有学过Python的同学了解了Python,Python这门语言,入门比较简单, 它简单易学,生态圈比较强大,涉及的地方比较多,特别是在人工智能,和数据分析这方面。在未来我觉得是往自动化, 人工智能这方面发展的,所以学习了Python 2:通过什么途...
315道Python面试题答案
QQ群166477105Python技术群
04-01 4009
目录 Python基础篇 1:为什么学习Python 2:通过什么途径学习Python 3:谈谈对Python和其他语言的区别 Python的优势: 4:简述解释型和编译型编程语言 5:Python的解释器种类以及相关特点? 6:位和字节的关系 7:b、B、KB、MB、GB的关系 8:PE8规范 9:通过代码实现如下转换(进制之间转换) 10:请编写一个函数实现将IP地址转换成一个整数 11、...
vue+springboot实现项目的CORS跨域请求
12-09
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源...
解决springboot实现跨域session共享问题
01-25
.allowCredentials(true); // 允许携带认证信息(如cookie) } } ``` 接下来,我们讨论session共享。在分布式系统中,单一服务器上的session存储方式不再适用,因为用户请求可能会被路由到不同的服务器上。为了...
SpringBoot实现前后端分离的跨域访问(CORS)
01-27
SpringBoot实现前后端分离的跨域访问(CORS)】 CORS,即Cross-Origin Resource Sharing,跨域资源共享,是一种允许浏览器从不同源加载资源的机制。在前后端分离的架构中,由于前端和后端可能部署在不同的域名下...
Springboot 实现跨域访问无需使用jsonp的实现代码
10-17
在现代Web开发中,跨域资源共享(CORS)是一个重要的机制,它允许浏览器从不同的源(domain)请求资源。在Spring Boot应用中,通常我们使用CORS来处理跨域问题,而不再依赖像JSONP这样的旧方法。JSONP(JSON with ...
在 MyBatis 中使用 <、<= 等特殊符号
热门推荐
一只奋斗的猪
05-17 4万+
目录1. 直接Java 处理(不推荐)2. 特殊符号转义3. 硬核方法:<![CDATA[ ]]> 在实际的开发中,经常会遇到一些场景,比如查询小于某个时间,或者是查询小于某个年龄等。这个时候就需要在 MyBatis 的 XML 文件中使用一些 <、<= 等符号,但是如果直接使用的话文件会报错:Tag name expected,这个时候处理的话一般有以下三种方式: 1. 直接Java 处理(不推荐) 这种方法其实就是通过 #{param} 或者是 ${param} 直接在 Java 代码中手动
Spring Boot 使用 Dubbo 3 报错: org/apache/curator/framework/CuratorFrameworkFactory
一只奋斗的猪
08-10 7272
场景:Spring Boot 集成 Dubbo 3 并使用 Zookeeper 作为注册中心集成,启动的时候直接报错java.lang.NoClassDefFoundError: org/apache/curator/framework/CuratorFrameworkFactory at org.apache.dubbo.remoting.zookeeper.curator.CuratorZookeeperClient.<init>(CuratorZookeeperClient.java
Spring Cloud 微服务中 gateway 网关如何设置健康检测端点
一只奋斗的猪
01-16 2074
主要是为了让 `k8s` 识别到网关项目已经就绪,但是又不想在里面通过 `Controller` 实现。因为在 `Controller` 中这样做并不是最佳实践,因为 `Gateway` 的设计初衷是专注于路由和过滤,而不是业务逻辑的处理。
SpringBoot 3 版本 mybatis-plus 踩坑记录:Property ‘sqlSessionFactory‘ or ‘sqlSessionTemplate‘ are required
一只奋斗的猪
04-02 1540
毕竟 SpringBoot 3.x 刚出,搭建的时候已经踩了一堆坑了,估计也是版本问题,去 mybatis-plus 的 Github 上去看,在 SpringBoot 3.x 的兼容性上确实还有一些问题,推荐使用 3.5.3 及以上版本。
K8S(Docker)优雅的关闭 SpringBoot 微服务
一只奋斗的猪
06-17 1248
最近在折腾 `K8S`,当删掉一个 `Pod` 之后(一个 `Pod` 上部署了一个微服务实例),`Eureka Server` 竟然没有将该服务实例标记成 `DOWN`,正常来说,当一个 `Eureka Client` 关闭的时候会发送一个请求给 `Eureka Server`,`Eureka Server` 会马上的将服务标记为 `DOWN` 状态,具体可以看本地开发日志。 ```java o.s.s.concurrent.ThreadPoolTaskExecutor : Shutting down
Error:(6, 32) java: package com.sun.jndi.toolkit.dir does not exist
一只奋斗的猪
06-01 806
项目环境:Maven、JDK11 (其他版本的 也类似), ( 下 配置界面可能会不同) 导入一个已经存在的项目(替换为 项目),被告知项目用的是 。导入成功后,点击 ,并将下面修改为 。搞定,,,运行代码(如此简单,脸上开始浮现笑容,内心美滋滋)。 然后就: 脸上的笑容逐渐消失,内心开始骂骂咧咧。点击报错,跳转后一看,代码里面用到了 这个类: 可是 这个包在 JDK 11 中是存在的呀,为什么会找不到呢??看到这直觉告诉我,肯定又是使用 JDK 的问题。。。因为之前已经写过一篇关于...
后端是python fastapi,如何使用CORS解决跨域报错:strict-origin-when-cross-origin
09-25
CORS(跨域资源共享)可以帮助解决跨域报错。在Python FastAPI中,可以使用CORS插件来解决跨域问题。只需要在应用程序中添加以下代码:from fastapi.middleware.cors import CORSMiddleware,然后将其作为参数传递给应用程序:app.add_middleware(CORSMiddleware,allow_origins=['*'],allow_methods=['*'],allow_headers=['*'],allow_credentials=True)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Roc.Chang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值