带有 spring-boot 和 angularjs 的 CORS 不起作用
Posted
技术标签:
【中文标题】带有 spring-boot 和 angularjs 的 CORS 不起作用【英文标题】:CORS with spring-boot and angularjs not working 【发布时间】:2015-11-25 23:15:27 【问题描述】:我正在尝试从另一个(angularjs)调用一个应用程序(spring-boot 应用程序)上的 REST 端点。应用程序正在以下主机和端口上运行。
REST 应用程序,使用 Spring Boot,http://localhost:8080
html 应用程序,使用 angularjs,http://localhost:50029
我还在 spring-boot 应用程序中使用 spring-security
。从 HTML 应用程序中,我可以对 REST 应用程序进行身份验证,但此后我仍然无法访问任何 REST 端点。例如,我有一个 angularjs 服务定义如下。
adminServices.factory('AdminService', ['$resource', '$http', 'conf', function($resource, $http, conf)
var s = ;
s.isAdminLoggedIn = function(data)
return $http(
method: 'GET',
url: 'http://localhost:8080/api/admin/isloggedin',
withCredentials: true,
headers:
'X-Requested-With': 'XMLHttpRequest'
);
;
s.login = function(username, password)
var u = 'username=' + encodeURI(username);
var p = 'password=' + encodeURI(password);
var r = 'remember_me=1';
var data = u + '&' + p + '&' + r;
return $http(
method: 'POST',
url: 'http://localhost:8080/login',
data: data,
headers: 'Content-Type': 'application/x-www-form-urlencoded'
);
;
return s;
]);
angularjs 控制器如下所示。
adminControllers.controller('LoginController', ['$scope', '$http', 'AdminService', function($scope, $http, AdminService)
$scope.username = '';
$scope.password = '';
$scope.signIn = function()
AdminService.login($scope.username, $scope.password)
.success(function(d,s)
if(d['success'])
console.log('ok authenticated, call another REST endpoint');
AdminService.isAdminLoggedIn()
.success(function(d,s)
console.log('i can access a protected REST endpoint after logging in');
)
.error(function(d, s)
console.log('huh, error checking to see if admin is logged in');
$scope.reset();
);
else
console.log('bad credentials?');
)
.error(function(d, s)
console.log('huh, error happened!');
);
;
]);
在拨打http://localhost:8080/api/admin/isloggedin
时,我收到了401 Unauthorized
。
在 REST 应用程序端,我有一个如下所示的 CORS 过滤器。
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CORSFilter implements Filter
@Override
public void destroy()
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException
HttpServletResponse response = (HttpServletResponse) res;
HttpServletRequest request = (HttpServletRequest) req;
response.setHeader("Access-Control-Allow-Origin", "http://localhost:50029");
response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, X-Auth-Token");
response.setHeader("Access-Control-Allow-Credentials", "true");
if(!"OPTIONS".equalsIgnoreCase(request.getMethod()))
chain.doFilter(req, res);
@Override
public void init(FilterConfig config) throws ServletException
我的 spring 安全配置如下所示。
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Autowired
private RestAuthenticationEntryPoint restAuthenticationEntryPoint;
@Autowired
private JsonAuthSuccessHandler jsonAuthSuccessHandler;
@Autowired
private JsonAuthFailureHandler jsonAuthFailureHandler;
@Autowired
private JsonLogoutSuccessHandler jsonLogoutSuccessHandler;
@Autowired
private AuthenticationProvider authenticationProvider;
@Autowired
private UserDetailsService userDetailsService;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
@Value("$rememberme.key")
private String rememberMeKey;
@Override
protected void configure(HttpSecurity http) throws Exception
http
.csrf().disable()
.exceptionHandling()
.authenticationEntryPoint(restAuthenticationEntryPoint)
.and()
.authorizeRequests()
.antMatchers("/api/admin/**").hasRole("ADMIN")
.antMatchers("/", "/admin", "/css/**", "/js/**", "/fonts/**", "/api/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.successHandler(jsonAuthSuccessHandler)
.failureHandler(jsonAuthFailureHandler)
.permitAll()
.and()
.logout()
.deleteCookies("remember-me", "JSESSIONID")
.logoutSuccessHandler(jsonLogoutSuccessHandler)
.permitAll()
.and()
.rememberMe()
.userDetailsService(userDetailsService)
.tokenRepository(persistentTokenRepository)
.rememberMeCookieName("REMEMBER_ME")
.rememberMeParameter("remember_me")
.tokenValiditySeconds(1209600)
.useSecureCookie(false)
.key(rememberMeKey);
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception
auth
.authenticationProvider(authenticationProvider);
所有处理程序所做的只是根据用户是否登录、身份验证失败或注销来写出类似success: true
的 JSON 响应。 RestAuthenticationEntryPoint
如下所示。
@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint
@Override
public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException ex)
throws IOException, ServletException
resp.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
对我遗漏或做错了什么有任何想法?
【问题讨论】:
我想您还需要进行身份验证,例如令牌或其他东西。您有 2 台服务器。你看过那个教程吗?spring.io/guides/tutorials/spring-security-and-angular-js @GokhanOner 我如何进行身份验证?这可能是这个问题的缺失部分。另外,是的,我确实阅读了这些教程,并且认为它们与我的方法不一致。前两部分处理 Http-Basic 身份验证,然后第三部分处理 Redis(我不想或不打算将其作为依赖项),然后最后一个教程是关于API Gateway
with spring cloud,我认为有点矫枉过正。
我想你可以不使用redis,它只是一个键值缓存存储。您需要将身份验证和 CSRF 令牌存储在存储中,可能在动态内部映射。这里的关键是身份验证密钥。查看示例:github.com/dsyer/spring-security-angular/tree/master/… 和带有“资源服务器”的页面。您将看到定义了一些额外的 bean,CORS 过滤器的顺序也很重要。还有一些道具。也需要改变。
好的,我做了一个快速的研究。要摆脱 Redis,您只需要创建一个 springSessionRepositoryFilter bean,查看github.com/spring-projects/spring-session/blob/1.0.0.RC1/…,还有 sessionRepository bean,在这个 bean 中,您可以使用 MapSessionRepository,而不是 RedisOperationsSessionRepository,它也在 spring-session 中。然后按照例子来。
【参考方案1】:
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
@Component
public class SimpleCORSFilter implements Filter
private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);
public SimpleCORSFilter()
log.info("SimpleCORSFilter init");
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");
chain.doFilter(req, res);
@Override
public void init(FilterConfig filterConfig)
@Override
public void destroy()
不需要额外定义这个过滤器,只需添加这个类。 Spring 将被扫描并为您添加。简单CORS过滤器。 示例如下:spring-enable-cors
【讨论】:
但是它阻止执行AuthenticationEntryPoint..请指导 非常感谢,它极大地帮助了我努力让 spring 和 ember 一起工作。干杯伙伴! FindBugs 不喜欢使用request.getHeader("Origin")
设置标题参数,如上所示,因为HTTP response splitting
如果您的应用程序中有其他过滤器,则此过滤器需要具有最高优先级,方法是使用 @Order(Ordered.HIGHEST_PRECEDENCE)
注释过滤器。
这个答案基本上绕过了拥有 CORS 的好处。通过将 Origin 标头反映到“Access-control-allow-origin”响应标头中并允许凭据请求,您只是将您的应用程序暴露给来自世界上任何站点的跨站点请求。 读者请谨慎使用此答案【参考方案2】:
我也遇到过类似的情况。经过研究和测试,这是我的发现:
使用 Spring Boot,启用全局 CORS 的推荐方法是在 Spring MVC 中声明并结合细粒度 @CrossOrigin
配置为:
@Configuration
public class CorsConfig
@Bean
public WebMvcConfigurer corsConfigurer()
return new WebMvcConfigurerAdapter()
@Override
public void addCorsMappings(CorsRegistry registry)
registry.addMapping("/**").allowedMethods("GET", "POST", "PUT", "DELETE").allowedOrigins("*")
.allowedHeaders("*");
;
现在,由于您使用的是 Spring Security,因此您还必须在 Spring Security 级别启用 CORS,以允许它利用 Spring MVC 级别定义的配置:
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http.cors().and()...
Here 是非常优秀的教程,解释了 Spring MVC 框架中的 CORS 支持。
【讨论】:
ups 它适用于此更改 http .csrf() .disable() .cors() .and() @Osgux 很高兴听到这个消息 :) 因为我使用 JWT 进行授权并且它们是 csrf 安全的,所以我没有把它放在那里 .. 如果有帮助,请不要忘记投票 :) @Marcel 你遇到了什么问题? 无法加载 :对预检请求的响应未通过访问控制检查:请求的资源上不存在“Access-Control-Allow-Origin”标头。因此不允许访问 Origin 'localhost:8090'。 @Marcel 你如何在网络配置中注册映射?如果不使用 jwt,还要确保在安全配置中禁用 csrf【参考方案3】:如果您想在不使用过滤器或不使用配置文件的情况下启用 CORS,只需添加
@CrossOrigin
到你的控制器的顶部,它就可以工作了。
【讨论】:
采用这种方法有什么安全风险? 为我工作,我尝试将标头直接添加到响应中,但由于未处理预检,因此无法正常工作。我认为这并不安全,但可能会用于某些内部应用程序。 为我工作。非常方便的内部应用解决方案。【参考方案4】:要构建上面的其他答案,如果您有一个带有 Spring 安全性的 Spring Boot REST 服务应用程序(不是 Spring MVC),那么通过 Spring 安全性启用 CORS 就足够了(如果您使用 Spring MVC,则使用 WebMvcConfigurer
bean正如 Yogen 提到的那样,可能是 Spring 安全性将委托给其中提到的 CORS 定义的方式)
因此,您需要有一个安全配置来执行以下操作:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
//other http security config
http.cors().configurationSource(corsConfigurationSource());
//This can be customized as required
CorsConfigurationSource corsConfigurationSource()
CorsConfiguration configuration = new CorsConfiguration();
List<String> allowOrigins = Arrays.asList("*");
configuration.setAllowedOrigins(allowOrigins);
configuration.setAllowedMethods(singletonList("*"));
configuration.setAllowedHeaders(singletonList("*"));
//in case authentication is enabled this flag MUST be set, otherwise CORS requests will fail
configuration.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
此链接有更多相关信息:https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#cors
注意:
-
为 prod 部署的应用程序启用所有来源 (*) 的 CORS 可能并不总是一个好主意。
可以通过 Spring HttpSecurity 自定义启用 CSRF,没有任何问题
如果您使用 Spring 在应用程序中启用了身份验证(例如通过
UserDetailsService
),则必须添加 configuration.setAllowCredentials(true);
针对 Spring boot 2.0.0.RELEASE(即 Spring 5.0.4.RELEASE 和 Spring security 5.0.3.RELEASE)测试
【讨论】:
这解决了我的问题。作为 Spring 和 Spring Boot 的新手,我意识到我不是使用 Sring MVC 构建的。我有一个 Vue.js 客户端。其他答案似乎是针对 Spring MVC 的,但是这个答案很好地插入了我已经实现的身份验证和授权。 嗨@jaletechs,我也在使用nuxtJs(一个vuejs框架)但是在设置cookie时,它不起作用。您能帮忙解决这个问题吗?【参考方案5】:我正在使用spring boot 2.1.0
,对我有用的是
A.通过以下方式添加 cors 映射:
@Configuration
public class Config implements WebMvcConfigurer
@Override
public void addCorsMappings(CorsRegistry registry)
registry.addMapping("/**").allowedOrigins("*");
B.将以下配置添加到我的 HttpSecurity
以实现 spring 安全
.cors().configurationSource(new CorsConfigurationSource()
@Override
public CorsConfiguration getCorsConfiguration(HttpServletRequest request)
CorsConfiguration config = new CorsConfiguration();
config.setAllowedHeaders(Collections.singletonList("*"));
config.setAllowedMethods(Collections.singletonList("*"));
config.addAllowedOrigin("*");
config.setAllowCredentials(true);
return config;
)
此外,如果是 Zuul 代理,您可以使用此 INSTEAD OF A 和 B(只需使用 HttpSecurity.cors()
在 Spring 安全性中启用它):
@Bean
public CorsFilter corsFilter()
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
final CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("HEAD");
config.addAllowedMethod("GET");
config.addAllowedMethod("PUT");
config.addAllowedMethod("POST");
config.addAllowedMethod("DELETE");
config.addAllowedMethod("PATCH");
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
【讨论】:
return new CorsFilter(source);不是这样的构造函数错误 @Aadam 你用的是和我一样版本的弹簧靴吗? 2.1.5 正在使用中 @Aadam 请确保您使用的是来自org.springframework.web.filter.CorsFilter
的 CorsFilter。当我不小心从 catalina 包中使用它时,我遇到了同样的问题。【参考方案6】:
这对我有用:
@Configuration
public class MyConfig extends WebSecurityConfigurerAdapter
//...
@Override
protected void configure(HttpSecurity http) throws Exception
//...
http.cors().configurationSource(new CorsConfigurationSource()
@Override
public CorsConfiguration getCorsConfiguration(HttpServletRequest request)
CorsConfiguration config = new CorsConfiguration();
config.setAllowedHeaders(Collections.singletonList("*"));
config.setAllowedMethods(Collections.singletonList("*"));
config.addAllowedOrigin("*");
config.setAllowCredentials(true);
return config;
);
//...
//...
【讨论】:
虽然此代码可能会回答问题,但提供有关此代码为何和/或如何回答问题的额外上下文可提高其长期价值。 如果通过 Spring 安全启用身份验证,则 config.setAllowCredentials(true);必须放置,否则 CORS 请求仍然会失败【参考方案7】:这对我有用。
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http.cors();
@Configuration
public class WebConfiguration implements WebMvcConfigurer
@Override
public void addCorsMappings(CorsRegistry registry)
registry
.addMapping("/**")
.allowedMethods("*")
.allowedHeaders("*")
.allowedOrigins("*")
.allowCredentials(true);
【讨论】:
【参考方案8】:对我来说,使用 spring security 时唯一能 100% 工作的事情就是跳过所有额外的过滤器和 bean 的额外绒毛,以及人们一直认为对他们有用但对我无效的任何间接“魔法”。
而只是强制它使用普通的StaticHeadersWriter
写入您需要的标题:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http
// your security config here
.authorizeRequests()
.antMatchers(HttpMethod.TRACE, "/**").denyAll()
.antMatchers("/admin/**").authenticated()
.anyRequest().permitAll()
.and().httpBasic()
.and().headers().frameOptions().disable()
.and().csrf().disable()
.headers()
// the headers you want here. This solved all my CORS problems!
.addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Origin", "*"))
.addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Methods", "POST, GET"))
.addHeaderWriter(new StaticHeadersWriter("Access-Control-Max-Age", "3600"))
.addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Credentials", "true"))
.addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Headers", "Origin,Accept,X-Requested-With,Content-Type,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization"));
这是我发现的最直接和最明确的方式。希望它可以帮助某人。
【讨论】:
【参考方案9】:第 1 步
通过使用@CrossOrigin
注释来注释控制器将允许CORS 配置。
@CrossOrigin
@RestController
public class SampleController
.....
第 2 步
Spring 已经有一个 CorsFilter,尽管您可以将自己的 CorsFilter 注册为 bean 以提供您自己的配置,如下所示。
@Bean
public CorsFilter corsFilter()
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
final CorsConfiguration config = new CorsConfiguration();
config.setAllowedOrigins(Collections.singletonList("http://localhost:3000")); // Provide list of origins if you want multiple origins
config.setAllowedHeaders(Arrays.asList("Origin", "Content-Type", "Accept"));
config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "OPTIONS", "DELETE", "PATCH"));
config.setAllowCredentials(true);
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
【讨论】:
【参考方案10】:在我们的 Spring Boot 应用程序中,我们已经像这样设置了 CorsConfigurationSource。
首先添加allowedOrigns
然后设置applyPermitDefaultValues()
的顺序让Spring 为允许的标头、公开的标头、允许的方法等设置默认值,因此我们不必指定这些。
public CorsConfigurationSource corsConfigurationSource()
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("http://localhost:8084"));
configuration.applyPermitDefaultValues();
UrlBasedCorsConfigurationSource configurationSource = new UrlBasedCorsConfigurationSource();
configurationSource.registerCorsConfiguration("/**", configuration);
return configurationSource;
@Override
protected void configure(HttpSecurity http) throws Exception
http.authorizeRequests()
.antMatchers("/api/**")
.access("@authProvider.validateApiKey(request)")
.anyRequest().authenticated()
.and().cors()
.and().csrf().disable()
.httpBasic().authenticationEntryPoint(authenticationEntryPoint);
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
【讨论】:
【参考方案11】:检查这个:
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
...
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
...
【讨论】:
虽然此代码可能会回答问题,但提供有关此代码为何和/或如何回答问题的额外上下文可提高其长期价值。【参考方案12】:扩展 WebSecurityConfigurerAdapter 类并覆盖 @EnableWebSecurity 类中的 configure() 方法将起作用:下面是示例类
@Override
protected void configure(final HttpSecurity http) throws Exception
http
.csrf().disable()
.exceptionHandling();
http.headers().cacheControl();
@Override
public CorsConfiguration getCorsConfiguration(final HttpServletRequest request)
return new CorsConfiguration().applyPermitDefaultValues();
);
【讨论】:
【参考方案13】:如果您的程序最初没有使用 Spring Security 并且无法承担更改代码的费用,那么创建一个简单的反向代理就可以解决问题。就我而言,我使用 nginx 的配置如下:
http
server
listen 9090;
location /
if ($request_method = 'OPTIONS')
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
#
# Custom headers and headers various browsers *should* be OK with but aren't
#
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
#
# Tell client that this pre-flight info is valid for 20 days
#
add_header 'Access-Control-Max-Age' 1728000;
add_header 'Content-Type' 'text/plain; charset=utf-8';
add_header 'Content-Length' 0;
return 204;
if ($request_method = 'POST')
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
if ($request_method = 'GET')
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
proxy_pass http://localhost:8080;
我的程序收听:8080。
参考号:CORS on Nginx
【讨论】:
【参考方案14】:此答案复制了@abosancic 答案,但增加了额外的安全性以避免 CORS 漏洞利用。
提示 1:不要在未检查允许访问的主机列表的情况下按原样反映传入的 Origin。
提示 2:仅允许白名单主机的凭据请求。
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
@Component
public class SimpleCORSFilter implements Filter
private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);
private List<String> allowedOrigins;
public SimpleCORSFilter()
log.info("SimpleCORSFilter init");
allowedOrigins = new ArrayList<>();
allowedOrigins.add("https://mysafeorigin.com");
allowedOrigins.add("https://itrustthissite.com");
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
String allowedOrigin = getOriginToAllow(request.getHeader("Origin"));
if(allowedOrigin != null)
response.setHeader("Access-Control-Allow-Origin", allowedOrigin);
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");
chain.doFilter(req, res);
@Override
public void init(FilterConfig filterConfig)
@Override
public void destroy()
public String getOriginToAllow(String incomingOrigin)
if(allowedOrigins.contains(incomingOrigin.toLowerCase()))
return incomingOrigin;
else
return null;
【讨论】:
【参考方案15】:只需创建一个单个类,这样一切都会好起来的:
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class MyCorsConfig implements Filter
@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException
final HttpServletResponse response = (HttpServletResponse) res;
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, enctype");
response.setHeader("Access-Control-Max-Age", "3600");
if (HttpMethod.OPTIONS.name().equalsIgnoreCase(((HttpServletRequest) req).getMethod()))
response.setStatus(HttpServletResponse.SC_OK);
else
chain.doFilter(req, res);
@Override
public void destroy()
@Override
public void init(FilterConfig config) throws ServletException
【讨论】:
【参考方案16】:这对我来说是为了在 Spring boot 和 React 之间禁用 CORS
@Configuration
public class CorsConfig implements WebMvcConfigurer
/**
* Overriding the CORS configuration to exposed required header for ussd to work
*
* @param registry CorsRegistry
*/
@Override
public void addCorsMappings(CorsRegistry registry)
registry.addMapping("/**")
.allowedOrigins("*")
.allowedMethods("*")
.allowedHeaders("*")
.allowCredentials(true)
.maxAge(4800);
我还必须修改安全配置,如下所示:
@Override
protected void configure(HttpSecurity http) throws Exception
http.csrf().disable()
.cors().configurationSource(new CorsConfigurationSource()
@Override
public CorsConfiguration getCorsConfiguration(HttpServletRequest request)
CorsConfiguration config = new CorsConfiguration();
config.setAllowedHeaders(Collections.singletonList("*"));
config.setAllowedMethods(Collections.singletonList("*"));
config.addAllowedOrigin("*");
config.setAllowCredentials(true);
return config;
).and()
.antMatcher("/api/**")
.authorizeRequests()
.anyRequest().authenticated()
.and().httpBasic()
.and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().exceptionHandling().accessDeniedHandler(apiAccessDeniedHandler());
【讨论】:
【参考方案17】:我很惊讶地发现 Eduardo Dennis 指的是最新的解决方案,它更简单且不需要编写自己的过滤器类:它使用
org.springframework.web.bind.annotation.CrossOrigin
控制器上的注释
并将 and().cors()
包含到您的 Spring Security 配置中。
这就是你所要做的!
你可以像这样使用@CrossOrigin
注解:
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
@RequestMapping("/api")
@CrossOrigin
public class BackendController
...
如果要配置allowedHeaders
、methods
、origins
等,只需将这些值添加到注释中,如下所示:@CrossOrigin(origins = "http://localhost:50029", maxAge = 3600)
。
使用@CrossOrigin
注解,Spring Security 配置变得极其简单。只需将and().cors()
添加到您的WebSecurityConfig.java
类:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception
http
.csrf().disable()
.and().cors()
...
就是这样!您可以删除您的 Filter/CORSFilter 类。如果要添加全局配置,也可以声明CorsConfigurationSource
。请参阅this great answer 或this blog post by Sébastien Deleuze)。 Spring开发人员也明确表示:
这种方法取代了之前基于过滤器的方法 推荐。
因此,接受的答案已过时。这也是一个完整的示例项目:https://github.com/jonashackt/microservice-api-spring-boot
【讨论】:
这也是错误的。 .cors() 需要在 disable 之后,然后 .and() 另外,即使顺序正确,这也不起作用。阻止我从 localhost:4200 到 localhost:8080 的所有请求 好吧,也许您可以向我们展示示例代码? “错误”在这里非常苛刻——因为这个建议直接来自 Spring 开发团队。并且实现的 Builder Pattern 不应该关心任何顺序。最后但并非最不重要的一点:我链接到一个示例项目,该项目显示了一个工作解决方案,其中包含我在此处描述的代码,所以也许你应该看看你的代码,如果有不同的东西干扰 Spring 安全配置。【参考方案18】:要在全球范围内启用 CORS,您需要在两个地方进行更改:
1.春季启动:
@Configuration
public class CorsConfiguration extends WebMvcConfigurationSupport
@Override
public void addCorsMappings(CorsRegistry registry)
registry.addMapping("/**").allowedOrigins("*").allowedMethods("*")
.allowCredentials(true);
你可以在WebMvcConfigurerAdapter
中做同样的事情,或者创建WebMvcConfigurer
的bean。
2。春季安全
@Override
protected void configure(HttpSecurity http) throws Exception
http.cors().and()
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS).permitAll() //Permits your preflight request
在 Spring Boot 2.3.3.RELEASE 上工作
【讨论】:
以上是关于带有 spring-boot 和 angularjs 的 CORS 不起作用的主要内容,如果未能解决你的问题,请参考以下文章
Angularjs + Spring-boot + nginx的CORS问题
通过发布请求,spring boot 和 angularjs 之间的错误请求错误
带有tomcat和cxf-servlet的spring-boot