JAVA跨域请求Access-Control-Allow-Origin不能使用通配符问题

最新推荐文章于 2025-04-02 10:35:31 发布
最新推荐文章于 2025-04-02 10:35:31 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: 跨域 文章标签: java cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/suohao701/article/details/106409516
版权
在Java应用程序中,遇到一个问题,当设置跨域请求的Access-Control-Allow-Origin为'*'时,如果请求包含凭证(credentials mode为'include'),浏览器会抛出错误。尽管代码已配置允许跨域,但通配符不允许在这种情况下使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

The value of the ‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’ when the request’s credentials mode is ‘include’.

代码里面明明配置了跨域请求的配置,却还是报这个错


```java
@Configuration
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsConfig {
    private CorsConfiguration buildConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        return corsConfiguration;
    }

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildConfig());
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        // 这个顺序很
最低0.47元/天 解锁文章
Access-Control-Allow-Origin:*不生效
ssk0411的博客
11-18 1万+
前端附带身份凭证的请求,所以服务器Access-Control-Allow-Origin 不能设为* 附带身份凭证的请求通配符 对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。 这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example,则请求将成功执行。
Access-Control-Allow-Origin通配符,端口协议
CHCH998的博客
08-19 2990
I'm trying to enable CORS for all subdomains, ports and protocol. 我正在尝试为所有子,端口协议启用CORS。 For exa
正确配置Access-Control-Allow-Origin,千万不要设置成*
热门推荐
baijiafan的博客
08-24 9万+
正确配置Access-Control-Allow-Origin,千万不要设置成*,这样的配置太不安全。
Nginx “Access-Control-Allow-Origin” 安全配置
最新发布
王小工小工历程
04-02 943
通过白名单限制允许名,避免使用Access-Control-Allow-Origin *,以减少CSRF等安全风险‌。以上配置通过动态名匹配、严格限制方法/头部、正确处理预检请求及补充安全头,实现既灵活又安全的CORS策略‌15。)中不重复设置头,防止响应头冲突‌。若需携带Cookie等凭证,需显式设置。确保在错误处理块(如。
axios 基础
当历史只剩罪恶,唯有推倒重来,我们开创文明,我们传承文明,周而复始,生生不息。
09-08 888
axios 基础 特征: 从浏览器中创建XMLHttpRequest 从node.js发出http请求 支持Promise API 拦截请求响应 转换请求响应数据 取消请求 自动转换JSON数据 客户端支持防止CSRF/XSRF 作用 ajax工具包 promise 支持请求响应的拦截 nodejs网页端都可以使用 使用 1,安装 npm install axios -S 2. 导入挂载 import axios from 'axios' vue.prototype.$http =
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 631
传统的Ajax请求只能获取在同一个名下面的资源,但是HTML5打破了这个限制,允许Ajax发起请求。浏览器是可以发起请求的,比如你可以外链一个外的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在FlashSilverlight中,服务器需要创建一个crossdomain.xml的文件来允许请求。如果这个文件声明“http:/...
Nginx设置Access-Control-Allow-Origin无效的解决办法
09-30
然而,有时在Nginx服务器上设置`Access-Control-Allow-Origin`后,依然会出现请求失败的情况。本文将探讨这个问题,并提供一种有效的解决方案。 首先,我们需要了解`Access-Control-Allow-Origin`这个HTTP响应...
谷歌插件Access-Control-Allow-Origin
02-15
标题中的“谷歌插件Access-Control-Allow-Origin”指的是在谷歌浏览器上使用的扩展程序,用于解决Web开发过程中遇到的问题是由于浏览器的同源策略(Same-origin policy)引起的,它限制了来自不同源的...
Java设置Access-Control-Allow-Origin允许多名访问的实现方法
08-26
Java 中,设置 Access-Control-Allow-Origin 可以允许多名访问,解决问题。这是前后端分离项目中常见的问题。下面将详细介绍如何设置 Access-Control-Allow-Origin 允许多名访问的实现方法。 方法一:...
Access-Control-Allow-Origin问题的终极解决,给自己做备份
10-16
在Web开发中,(Cross-Origin)是一个常见的问题,特别是在使用Ajax进行异步请求时。"Access-Control-Allow-Origin"是HTTP头中的一个关键字段,用于处理浏览器端的同源策略限制,允许来自不同源的资源请求。本文...
通配符*与include报错,The value of the 'Access-Control-Allow-Origin' header '*'
xqhys的博客
03-19 2508
原因:Access-Control-Allow-Origin' header = "*" 导致的 解决方案: 1、指定一个名 2、动态获取访问名(等价于*) response.setHeader("Access-Control-Allow-Origin",request.getHeader("origin")); ...
问题大集04-浏览器阻止从 本地 发起的请求,因为服务器的响应头 Access-Control-Allow-Origin 设置为通配符 *
2301_76648183的博客
02-07 330
即在请求的时候,如果是get请求,在第二个参数的位置添加 { withCredentials: false // 禁用凭据。axios.get('xxx', { withCredentials: false // 禁用凭据})在请求的时候,如果不需要发送凭据(如 cookies 或 HTTP 认证信息),可以在请求中禁用。并且请求已经发送成功(net::ERR_FAILED 200 (OK))
Access-Control-Allow-Origin(CROS)
拔刀怒向猪头的专栏
09-29 5387
response.setHeader("Access-Control-Allow-Origin", "http://128.208.229.188:1000/*"); 表明当前页面可以访问。默认是不允许的。                   Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行资源访问的来源。可以用通配符*表示允许任何的J
nginx教程:配置项add_header Access-Control-Allow-Origin *的含义
学亮编程手记
09-14 7712
时,浏览器将允许来自任何请求访问响应内容,包括对包含敏感信息的请求的访问。因此,在处理包含敏感信息的请求时,请确保使用更具体的名来限制访问。通配符表示允许来自任何请求。如果你希望仅允许特定的进行访问,可以将。根据你的需求应用程序的要求,你可能需要添加其他头部来处理请求。头部之外,还可能需要设置其他相关的头部,例如。请根据你的实际需求安全要求,适当配置。头部,以允许访问。,表示允许来自任何请求。头部以实现所需的访问控制。请求中的敏感信息:使用
遇到带 Access-Control-Allow-Origin: *, 还会报错的情况
q503385724的博客
03-09 2882
Access to fetch at 'http://localhost:8001/bos/orders/count' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Th...
java设置access-allow_Java中设置多个Access-Control-Allow-Origin访问
weixin_29441555的博客
02-27 2682
1、如果服务端是Java开发的,添加如下设置允许即可,但是这样做是允许所有名都可以访问,不够安全。response.setHeader("Access-Control-Allow-Origin","*");2、为保证安全性,可以只添加部分名允许访问,添加位置可以在下面三处任选一个。(1)可以在过滤器的filter的dofilter()方法种设置。(2)可以在servlet的get或者pos...
后台配置Access-Control-Allow-Origin :*后依然被浏览器拦截
Lidppp的博客
01-25 6953
CROS遇到的问题 后台配置好 Access-Control-Allow-Origin :*之后 谷歌浏览器Network中还是显示 CROS ERROR, 鼠标放上去显示 Cross-Origin Resource Sharing error: PreflightWildcardOriginNotAllowed 原因 在CORS中,Credential不接受http响应首部中的‘Access-Control-Allow-Origin’设置为通配符‘*’ 解决方案 CORS 请求发出时,已经设定了c
Java Demo示例:Springboot解决Access-Control-Allow-Origin问题、浏览器同源策略详解
学以致用 知行合一
05-04 1万+
同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制,它限制一个源加载的文档或脚本如何与另一个源的资源进行交互。 并不是请求发不出去,请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。...
Cors(三):Access-Control-Allow-Origin名?
架构师:通透,才能写出好代码!
06-21 2万+
响应头设置不合理,公司安全部门会请你喝茶
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值