springboot 处理跨域的正确姿势_setallowedoriginpatterns-优快云博客

本文链接：https://blog.youkuaiyun.com/supingemail/article/details/123642688

本文探讨了Spring MVC中的跨域配置错误，指出了使用 '*' 通配符可能导致的安全隐患，并给出了正确的做法，即通过配置文件指定特定的允许域名。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

好记忆不如烂笔头，能记下点东西，就记下点，有时间拿出来看看，也会发觉不一样的感受。

1.概括

2.错误姿势

3.正确姿势

1.概括

跨域的问题经常出现，至于造成的原因，都知道，不多说。直接上干货。

2.错误姿势

package test;
 
import java.util.ArrayList;
import java.util.Collections;
import java.util.List;
 
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
/**
 * 
 * WebMvcConfig
 * 
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

 
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 允许访问的客户端域名
        List<String> allowedOriginPatterns = new ArrayList<>();
 
        allowedOriginPatterns.add("*");
 
        config.setAllowedOrigins(allowedOriginPatterns);
        // 允许服务端访问的客户端请求头
        config.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

// 允许访问的客户端域名
List<String> allowedOriginPatterns = new ArrayList<>();
allowedOriginPatterns.add("*");

这样虽然前端是不报错了，但是确实有重大的安全隐患，因为add("*")，相当说是都不拦截，直接过，这样肯定是不能让人接受的。

3.正确姿势

3.1 手动键入需要放过的请求的客户端域名

3.2 在配置中，获取设置的信息，手动设置放过。

package test;
 
import java.util.ArrayList;
import java.util.Collections;
import java.util.List;
 
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
 
/**
 * 
 * WebMvcConfig
 * 
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    /**
     * 跨域配置
     */
    @Value("${allowedPath}")
    private String allowedPath;
 
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 允许访问的客户端域名
        List<String> allowedOriginPatterns = new ArrayList<>();
        allowedOriginPatterns.add(allowedPath);
 
        // config.setAllowedOriginPatterns(allowedOriginPatterns);
        config.setAllowedOrigins(allowedOriginPatterns);
        // config.addAllowedOrigin(serverPort);
        // 允许服务端访问的客户端请求头
        config.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        config.addAllowedMethod("*");
        // 对接口配置跨域设置
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

allowedPath 是在application.yml 中配置的可以放过的域名地址。

如此操作之后，就可以真正达到处理跨域问题的目的了。