【SpringMVC】与权限拦截器冲突导致的Cors跨域设置失效问题

最新推荐文章于 2023-07-14 19:16:33 发布
最新推荐文章于 2023-07-14 19:16:33 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 工作问题记录
原文链接:https://segmentfault.com/a/1190000010348077?utm_source=tag-newest
版权

问题描述

前端域名FE.com向后端域名BE.com分别请求访问优惠券的列表和提交新增的优惠券,API设计所用的Method分别为Get和Post,结果为前一次访问成功而后一次访问失败。这两次请求都是跨域请求,其中请求1包含一个Get请求,请求2本应该包含一个Options请求和一个Post请求,但是只发生了Options请求。

后端Cors配置

CORS使用SpringMVC自带的mvc:cors标签全局配置,权限检测则实现自定义的拦截器校验Cookie中的Token信息。

<mvc:cors>
        <mvc:mapping allow-credentials="true" allowed-headers="Content-Type" 
        allowed-methods="POST, GET, OPTIONS, DELETE, PUT, HEAD" 
        allowed-origins="http://test.i.meituan.com" 
        max-age="3600" path="/**"/>
</mvc:cors>
<mvc:interceptors>
   <mvc:interceptor>
       <mvc:mapping path="/ajax/shop/**"/> <!--sso回调处理-->
       <bean class="com.dianping.orderdish.framework.interceptor.ShopSsoInterceptor"/>
   </mvc:interceptor>
</mvc:interceptors>

在复杂请求的情况下(即请求2),由于预检请求不会包含Cookie信息(浏览器本身的实现决定其是否发送Cookie,前端无法控制,并且Chrome是不发送的),因此被权限拦截器提前结束,没有输出包含指定头部信息的响应。而一个被浏览器认为合格的预检请求响应必须包含如下的Http头部。

Access-Control-Allow-Origin: http://test.i.meituan.com
Access-Control-Allow-Methods: POST, GET, OPTIONS
Access-Control-Allow-Headers: Content-Type
Access-Control-Max-Age: 86400

为什么会发生提前结束这种情况?可以对dispatch()方法进行分析。

Handler和拦截器的执行顺序

DispatchServlet.doDispatch()方法是SpringMVC的核心入口方法,分析发现所有的拦截器的preHandle()方法的执行都在实际Handler的方法(比如某个API对应的业务方法)之前,其中任意拦截器返回false都会跳过后续所有处理过程。而SpringMVC对预检请求的处理则在PreFlightHandler.handleRequest()中处理,在整个处理链条中出于后置位。由于预检请求中不带Cookie,因此先被权限拦截器拦截。

// Determine handler for the current request.
mappedHandler = getHandler(processedRequest);
//省略代码
if (!mappedHandler.applyPreHandle(processedRequest, response)) {
    return;
}
// Actually invoke the handler.
mv = ha.handle(processedRequest, response, mappedHandler.getHandler());

@CrossCors时序分析

除了在XML中设置全局的CORS配置,Spring提供了@CrossCors,可以注解在类和方法上,是一种更细粒度的配置方法。SpringMVC把其处理细节包装在getHandler(processedRequest);中,具体逻辑可以简述为如果请求是预检请求,则返回PreFlightHander;否则在拦截器末尾添加一个CorsInterceptor。因此可以看出,@CrossCors相关的执行和全局的mvc:cors类似,也是滞后于权限拦截器的。

解决方案

方案1:使用Spring-Web自带的CorsFilter

由于CorsFilter是定义在Web容器中的过滤器(实现了javax.servlet.Filter),因此其执行顺序先于Servlet,而SpringMVC的入口是DispatchServlet,因此该Filter会先于SpringMVC的所有拦截器执行。分析代码可知,CorsFilter会获取单个请求对应的Cors配置做相应的处理。因此可以和mvc:cors很好的结合,不需要增加额外的代码。(勘误:CorsFilter的构造需要CorsConfigurationSource实例,并且发生在SpringMVC配置文件解析之前,因此只能放在Spring的配置文件中,否则会发生找不到bean的异常;又由于mvc:cors的解析和Spring核心的解析不共享相同的ParserContext上下文,因此SpringMVC的跨域设置不能植入到CorsFilter中)

if (CorsUtils.isCorsRequest(request)) {
    CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
    if (corsConfiguration != null) {
        boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
        if (!isValid || CorsUtils.isPreFlightRequest(request)) {
            return;
        }
    }
}
filterChain.doFilter(request, response);
方案2:自己实现Interceptor

与方案1类似,把插入Http头的功能实现为SpringMVC的拦截器,然后在mvc:interceptors中声明为第一顺位。

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
   if (request.getHeader(HttpHeaders.ORIGIN) != null) {
        response.addHeader("Access-Control-Allow-Origin", "http://test.i.meituan.com");
        response.addHeader("Access-Control-Allow-Credentials", "true");
        response.addHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE, PUT, HEAD");
        response.addHeader("Access-Control-Allow-Headers", "Content-Type");
        response.addHeader("Access-Control-Max-Age", "3600");
   }
   return true;
}
方案3:增强自定义Interceptor

利用AOP环绕增强所有自定义拦截器的preHandle()方法,令其跳过预检请求的拦截。

@Around(value = "cut()")
public Object processTx(ProceedingJoinPoint jp) throws Throwable {
   HttpServletRequest request = (HttpServletRequest) jp.getArgs()[0];
   if (request != null && CorsUtils.isPreFlightRequest(request)) {
       return true;
   } else {
       return jp.proceed();
   }
}
金融码农之路
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用SpringMVC过滤器解决vue跨域请求的问题
11-29
之前写过通过注释的方法解决跨域请求的方法,需要每次都在controll类使用注解,这次通过springmvc拦截器解决: 继承SpringMVC的类HandlerInterceptor重写preHandle方法,这个方法会在到达 controll之前调用,如下 public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { response.setHeader("Access-Control-Allo
Cors跨域不生效问题:No ‘Access-Control-Allow-Origin‘ header is present on the requested resource.
qq_45060985的博客
10-18 1196
cors跨域不生效
SpringBoot中实现WebMvcConfigurer,配置跨域无效
热爱生活,享受编程
05-29 2490
SpringBoot中配置跨域无效的分析与解决
注解@CrossOrigin详解
热门推荐
诚的博客
10-25 10万+
注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您灵活地指定什么样的跨域请求被授权,而不是使用一些不太安全和不太强大的策略,如IFRAME或JSONP。 一、跨域(CORS)支持: Spring Framework
SpringMVC cors配置
q826qq1878的博客
07-27 8244
目前跨域有2种解决方案 1、jsonp:这种方式比较古老。 需要前后端配合 这里就不多说了 。 好处就是兼容老的浏览器 2、cors:这种方式是目前的主流。 CORS就是。。什么什么共享。 原理呢。就是服务器在response里面配置上各种允许。就好了。 cors又分2种 网上资料很多。我这里简单概述一下 1、简单请求:平常get、post(表单提交) 啥头信息都不加的情况 就是...
SpringMVC拦截器Interceptor导致跨越cors失效
weixin_34289454的博客
04-12 2208
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringMvc解决跨域问题
Aeroleo的博客
10-27 7813
前言:今天解决js跨域,搞了一下午,呜呜,以下是我整理的一些解决方法 介绍:   跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http
SpringMVC拦截器Interceptor导致跨越cors失效,Header获取不到
wejack的专栏
07-14 369
项目原来cors正常,但是在加了 token拦截器以后cors就又不正常了
SpringMVC设置跨域mvc:cors报错The matching wildcard is strict, but no declaration can be found 解决
Mr_JK的专栏
10-26 3113
报错时配置文件: &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:context="http://www.springframework.org/schema/context" xmlns:mvc="http://www.springframework.org/schema/mv...
cookie填坑
ddwddw4的博客
03-25 1394
删除cookie的方法一般都是给他个过期时间就可以了。 有个需求是在退出登录的时候去删除一个cookie,结果却发现怎么也删不掉,仔细检查后发现是因为和当前不在同一个域下。 最简单的话可以使用下面这个去删除,记得指定好domain就可以了。 document.cookie = `LG_TK_SAAS=; expires=${new Date(0).toUTCString()}; domai...
详解SpringMVC拦截器(资源和权限管理)
09-01
本篇文章主要介绍了SpringMVC拦截器(资源和权限管理),具有一定的参考价值,有兴趣的可以了解一下。
防止SpringMVC拦截器拦截js等静态资源文件的解决方法
10-19
本篇文章主要介绍了防止SpringMVC拦截器拦截js等静态资源文件的解决方法,具有一定的参考价值,有兴趣的同学可以了解一下
SpringMVC CORS跨域测试包
02-10
SpringMVC CORS跨域测试包
SpringMvc 拦截器
04-16
SpringMvc 拦截器 原理清楚,代码简单,值得学习!
spring java图片上传源码.rar
最新发布
04-26
源码实现了图片上传功能,可供相关功能开发的小伙伴参考学习使用。
新入职员工工作总结范文大全(篇).docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
本项目内容为《SpringBoot 2.X 基础教程》配套源码.zip
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
IMG_20240426_195457.jpg
04-26
IMG_20240426_195457.jpg
培训看版.xlsx
04-26
Excel数据看板,Excel办公模板,Excel模板下载,Excel数据统计,数据展示
springmvc拦截器失效
06-12
SpringMVC拦截器失效可能有以下几种情况: 1. 拦截器未注册:在SpringMVC中,需要将拦截器注册到配置中,如果拦截器未被注册,则无法拦截请求。 2. 拦截器顺序问题:在注册拦截器的时候,需要指定拦截器的执行顺序。如果拦截器的执行顺序不正确,可能会导致拦截器失效。 3. 拦截器路径匹配问题:在配置拦截器的时候,需要指定拦截的路径。如果拦截器的路径配置不正确,可能会导致拦截器失效。 4. 拦截器中抛出异常:如果拦截器执行过程中出现异常,可能会导致拦截器失效。为了避免这种情况,可以在拦截器中对异常进行处理。 5. 拦截器中未调用handler或chain.proceed():在拦截器中需要调用handler或chain.proceed()方法,否则可能会导致拦截器失效。 6. SpringMVC版本问题:不同版本的SpringMVC可能会有不同的拦截器实现方式,如果拦截器的实现方式不同,可能会导致拦截器失效。 综上所述,SpringMVC拦截器失效的原因有很多,需要仔细排查和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值