记一次spring boot升级跨域问题的坑

最新推荐文章于 2024-05-30 18:03:06 发布
最新推荐文章于 2024-05-30 18:03:06 发布
阅读量2.5k 收藏 5
点赞数 3
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaolegeaizy/article/details/114312969
版权

当前使用版本spring boot2.4.0,跨域配置如下:

package com.geostar.job.admin.conf;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @author 95844
 * 使用addCorsMappings(CorsRegistry registry)配置之后再使用自定义拦截器时跨域相关配置就会失效。
 * 原因是请求经过的先后顺序问题,当请求到来时会先进入拦截器中,而不是进入Mapping映射中,所以返回的头信息中并没有配置的跨域信息。浏览器就会报跨域异常。
 * 所以此处使用CorsFilter过滤器解决跨域问题
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration corsConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
    /* 请求常用的三种配置,*代表允许所有,当时你也可以自定义属性(比如header只能带什么,只能是post方式等等)
    */
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(3600L);
        return corsConfiguration;
    }
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig());
        return new CorsFilter(source);
    }
}

我相信大家跟我一样,新建项目时这种配置类基本都是直接从老项目复制粘贴过来的,根本不会多想。

本地测试服务一切正常,部署到服务器几天了,自己通过swagger页面用了都没问题,今天前端才对接服务一上来就是跨域报错。。。。

这时就想了这跨域设置都在多少个项目上用了咋到这个不行了,经验主义告诉我不会出问题也没查日志啥的,因为本地服务玩了很多天了没见过什么报错信息。最后实在是找不到原因,看了下服务器运行日志,启动的时候果然报错了,尴尬至极!!!

然后赶紧灰溜溜的查看原因。

原来是因为升级后spring boot2.4.0对应的spring5.3.1的CorsFilter类针对CorsConfiguration新增了校验

源码如下:

/**
 * {@link javax.servlet.Filter} to handle CORS pre-flight requests and intercept
 * CORS simple and actual requests with a {@link CorsProcessor}, and to update
 * the response, e.g. with CORS response headers, based on the policy matched
 * through the provided {@link CorsConfigurationSource}.
 *
 * <p>This is an alternative to configuring CORS in the Spring MVC Java config
 * and the Spring MVC XML namespace. It is useful for applications depending
 * only on spring-web (not on spring-webmvc) or for security constraints that
 * require CORS checks to be performed at {@link javax.servlet.Filter} level.
 *
 * <p>This filter could be used in conjunction with {@link DelegatingFilterProxy}
 * in order to help with its initialization.
 *
 * @author Sebastien Deleuze
 * @since 4.2
 * @see <a href="https://www.w3.org/TR/cors/">CORS W3C recommendation</a>
 * @see UrlBasedCorsConfigurationSource
 */
public class CorsFilter extends OncePerRequestFilter {

	private final CorsConfigurationSource configSource;

	private CorsProcessor processor = new DefaultCorsProcessor();


	/**
	 * Constructor accepting a {@link CorsConfigurationSource} used by the filter
	 * to find the {@link CorsConfiguration} to use for each incoming request.
	 * @see UrlBasedCorsConfigurationSource
	 */
	public CorsFilter(CorsConfigurationSource configSource) {
		Assert.notNull(configSource, "CorsConfigurationSource must not be null");
		this.configSource = configSource;
	}


	/**
	 * Configure a custom {@link CorsProcessor} to use to apply the matched
	 * {@link CorsConfiguration} for a request.
	 * <p>By default {@link DefaultCorsProcessor} is used.
	 */
	public void setCorsProcessor(CorsProcessor processor) {
		Assert.notNull(processor, "CorsProcessor must not be null");
		this.processor = processor;
	}


	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
			FilterChain filterChain) throws ServletException, IOException {

		CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
		boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
		if (!isValid || CorsUtils.isPreFlightRequest(request)) {
			return;
		}
		filterChain.doFilter(request, response);
	}

}

类CorsFilter继承自OncePerRequestFilter,doFilterInternal方法会被执行。类中还创建了一个默认的处理类DefaultCorsProcessor,doFilterInternal调用this.processor.processRequest
往下看

processRequest——>handleInternal——>checkOrigin注意关键方法来了

	/**
	 * Check the origin of the request against the configured allowed origins.
	 * @param requestOrigin the origin to check
	 * @return the origin to use for the response, or {@code null} which
	 * means the request origin is not allowed
	 */
	@Nullable
	public String checkOrigin(@Nullable String requestOrigin) {
		if (!StringUtils.hasText(requestOrigin)) {
			return null;
		}
		if (!ObjectUtils.isEmpty(this.allowedOrigins)) {
			if (this.allowedOrigins.contains(ALL)) {
				validateAllowCredentials();
				return ALL;
			}
			for (String allowedOrigin : this.allowedOrigins) {
				if (requestOrigin.equalsIgnoreCase(allowedOrigin)) {
					return requestOrigin;
				}
			}
		}
		if (!ObjectUtils.isEmpty(this.allowedOriginPatterns)) {
			for (OriginPattern p : this.allowedOriginPatterns) {
				if (p.getDeclaredPattern().equals(ALL) || p.getPattern().matcher(requestOrigin).matches()) {
					return requestOrigin;
				}
			}
		}
		return null;
	}

然后看到:validateAllowCredentials这个方法

	/**
	 * Validate that when {@link #setAllowCredentials allowCredentials} is true,
	 * {@link #setAllowedOrigins allowedOrigins} does not contain the special
	 * value {@code "*"} since in that case the "Access-Control-Allow-Origin"
	 * cannot be set to {@code "*"}.
	 * @throws IllegalArgumentException if the validation fails
	 * @since 5.3
	 */
	public void validateAllowCredentials() {
		if (this.allowCredentials == Boolean.TRUE &&
				this.allowedOrigins != null && this.allowedOrigins.contains(ALL)) {

			throw new IllegalArgumentException(
					"When allowCredentials is true, allowedOrigins cannot contain the special value \"*\"" +
							"since that cannot be set on the \"Access-Control-Allow-Origin\" response header. " +
							"To allow credentials to a set of origins, list them explicitly " +
							"or consider using \"allowedOriginPatterns\" instead.");
		}
	}

这就是刚才看到的报错信息,这里是说allowCredentials为true时并且allowedOrigins不为空且为ALL(这个ALL就是*)时就会抛出异常。

	/** Wildcard representing <em>all</em> origins, methods, or headers. */
	public static final String ALL = "*";

修改:

继续使用CorsFilter,使用官方推荐的allowedOriginPatterns即可,如下

package com.geostar.job.admin.conf;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @author 95844
 * 使用addCorsMappings(CorsRegistry registry)配置之后再使用自定义拦截器时跨域相关配置就会失效。
 * 原因是请求经过的先后顺序问题,当请求到来时会先进入拦截器中,而不是进入Mapping映射中,所以返回的头信息中并没有配置的跨域信息。浏览器就会报跨域异常。
 * 所以此处使用CorsFilter过滤器解决跨域问题
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration corsConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
    /* 请求常用的三种配置,*代表允许所有,当时你也可以自定义属性(比如header只能带什么,只能是post方式等等)
    */
        corsConfiguration.addAllowedOriginPattern("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(3600L);
        return corsConfiguration;
    }
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig());
        return new CorsFilter(source);
    }
}

 

xiaolege_
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Spring boot配置Cors 指定ip跨域失效解决方法
qq_21696621的博客
07-06 1915
package com.imooc.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguratio.
SpringBoot应用设置允许跨域访问
EricXiao666的博客
05-20 1万+
方式一:添加全局跨域配置类 @Configuration public class GlobalCorsConfig { private CorsConfiguration addCorsConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); //请求常用的三种配置...
springboot设置允许跨域,亲测有效!
C端业务攻城狮
03-18 373
springboot设置允许跨域
SpringBoot Configuration Annotation Processor not configured 解决方案和详细问题分析以及作用
m0_58600248的博客
05-30 1641
写在前:笔者出现这个问题的时候,大概猜到是什么问题,在网上也是很快找到了解决方案,但是很多帖子,并没有深究,只是单纯的解决了问题。
Spring boot配置全局跨域未生效,访问接口报错解决办法!
qq_41645986的博客
11-30 5509
问题描述:访问项目接口报错,以下为报错信息 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the “Access-Control-Allow-Origin” response header. To allow credentials to a set of orig
SpringBoot 配置跨域问题处理
John的博客
07-17 1088
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentials 和AllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
【解决】When allowCredentials is true, allowedOrigins cannot contain the special value “*“ since
热门推荐
杨大仙
03-21 1万+
详细报错信息: java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" response header. To allow credentials to a set of origins, list t
SpringBoot 优雅配置跨域多种方式及Spring Security跨域访问配置的
daTou
08-28 7507
前言 最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到跨域,但我怎么配置跨域也没有生效,这里有一个,在使用Spring Security时候单独配置,SpringBoot 跨越还不行,还需要配置Security 跨域才行。 什么是跨域 跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问 在 HTML 中,<a>, <form>, <img>, <script&g
Java Spring boot 2.0 跨域问题的解决
08-27
Java Spring Boot 2.0 跨域问题的解决 Java Spring Boot 2.0 跨域问题是一个常见的问题,在 Web 开发中,使用跨站 HTTP 请求加载各类资源已经成为了一种普遍且流行的方式。然而,出于安全考虑,浏览器会限制脚本中...
详解Spring Boot 2.0.2+Ajax解决跨域请求的问题
08-26
"详解Spring Boot 2.0.2+Ajax解决跨域请求的问题" 知识点1:什么是跨域请求? 跨域请求是指浏览器从一个域名下的网页去请求另一个域名下的资源时,会出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
Spring Boot 通过CORS实现跨域问题
09-07
Spring Boot 通过CORS实现跨域是解决现代Web应用程序中跨域访问问题的关键技术。由于浏览器的同源策略限制,不同源的站点之间无法通过JavaScript直接通信,这为前后端分离的开发模式带来了一定的挑战。然而,CORS...
Spring Boot和Vue跨域请求问题原理解析
08-25
Spring Boot和Vue跨域请求问题原理解析 跨域请求是指在Web应用程序中,从一个域名下的Web页面去请求另一个域名下的资源,这种请求方式会出现安全问题,为了解决这个问题,出现了同源政策(Same-Origin Policy)。...
Spring Boot实现跨域访问实现代码
08-29
跨域访问是指从一个域名下的网页去请求另一个域名下的资源,而 Spring Boot 提供了多种方式来实现跨域访问。本文将通过实例代码,介绍 Spring Boot 实现跨域访问的知识,并详细介绍 Spring Boot 服务器端设置允许...
解决跨域(CORS)问题
Java技术攻略的博客
03-07 1729
CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会遇到跨域问题
新版 springboot-前后端分离-跨域设置的五种方法以及遇到的
醉瑾_的博客
03-31 1801
用到的版本: springboot 2.6.5 security 5.6.2 spring framework 5.3.17 1 注解 @CrossOrigin (局部) 用在需要跨域的controller接口上或用在某个方法之上 eg: @CrossOrigin(origins = "http://xxx.com", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController {
使用CORS解决跨域问题
熊诗言的博客
02-21 3256
后端接口和前端分离的时候,很多情况下会遇到跨域问题。这是浏览器的同源策略导致的,同源策略是为了Web安全提出的,说的是两个不同源的网址默认是不能请求对方的接口的。不同源包含:协议(http|https)、ip/域名、端口之一不同就是不同源。不同源的网页请求接口都要遵循浏览器的同源策略。 解决跨域问题有两种方案,都需要服务端支持才可以。 一种是JSON...
java配置跨域springboot配置Cors跨域
终是庄周
11-06 1200
概念: 前端对Cross-Origin Resource Sharing 问题(CORS,中文又称’跨域’)应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(跨域限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有跨域呢?本文主要分两个部分,一是对这个问题的总结,二是nginx下如何配置服务器允许跨...
spring配置CORS后未返回Access-Control-Allow-Origin的踩解决
07-09 5809
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
配置前端跨域访问
weixin_33407107的博客
08-06 582
@Configuration public class CorsConfig { public CorsConfig(){} @Bean public CorsFilter corsFilter(){ //1、添加cors配置信息 CorsConfiguration corsConfiguration=new CorsConfiguration(); corsConfiguration.addAllowedOrigin("http:.
spring boot 关于跨域问题
最新发布
06-13
Spring Boot在处理跨域请求时,通常是为了支持前端与后端分离的应用架构中,当客户端(如浏览器)发起 AJAX 请求到不同的域名或端口时,服务器默认会因为同源策略(Same-Origin Policy)而拒绝这些请求。为了解决这个问题,Spring Boot提供了几种方法来处理跨域。 1. **全局启用CORS**: 你可以通过`@EnableWebMvc`注解加上`spring.mvc.cross-origin.enabled=true`配置,然后在`application.properties`或`application.yml`文件中添加CORS相关配置,比如允许特定来源、方法和头信息: ```yaml spring: mvc: cors: enabled: true origins: '*' 或 'http://localhost:8080' // 允许特定或所有来源 allowedMethods: '*' // 允许的所有HTTP方法 allowedHeaders: '*' // 允许的所有请求头 ``` 2. **全局注册CORS Filter**: 使用`@CrossOrigin`注解可以全局注册一个CORS Filter,例如: ```java @Configuration @WebFilter(urlPatterns = "/*") public class CorsConfig implements WebFilterConfigurer { @Override public void configureWebFilter(WebFilterRegistry registry) throws Exception { registry.addFilter(CorsFilter.class).addMappingForAllUrls().applyPermitDefaultValues(); } } ``` 3. **控制器级别处理**: 如果只需要某个或部分Controller响应跨域,可以在方法上使用`@CrossOrigin`: ```java @RestController @CrossOrigin(origins = "*", methods = RequestMethod.GET) public class MyController { @GetMapping("/api") public String crossDomainApi() { // ... } } ``` 4. **自定义CORS策略**: 如果需要更灵活的控制,可以创建`CorsConfiguration`实例并动态配置: ```java @Bean public CorsConfigurationSource corsConfigurationSource() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); // ... 设置配置项 source.registerCorsConfiguration("/**", config); return source; } @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*"); } }; } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值