SpringBoot预检请求跨域问题解决方案

已于 2022-05-30 10:42:28 修改
阅读量2.3k 收藏 12
点赞数 5
分类专栏: Debug 文章标签: spring boot java spring 跨域 CORS
于 2022-05-25 01:36:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45413689/article/details/124958333
版权

目录

先说结论

增加一个过滤器类即可:

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {

    private static final String OPTIONS = "OPTIONS";

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "OPTIONS,GET,POST,DELETE,PUT");
        res.addHeader("Access-Control-Allow-Headers", "*");
        res.addHeader("Access-Control-Max-Age", "3600");

        // 如果是OPTIONS则结束请求
        if (OPTIONS.equals(((HttpServletRequest) request).getMethod())) {
            response.getWriter().println("ok");
            return;
        }

        chain.doFilter(request, response);
    }
}

问题分析

技术说明

使用的是SpringBoot构建了一个java后端服务。

问题出现时情况

  1. 已经配置了CORS的configuration,代码如下:
@Configuration
public class CorsConfiguration implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOriginPatterns("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT", "PATCH")
                .allowedHeaders("*")
                .maxAge(3600);
    }
}
  1. 对于简单请求,可以直接发送并获取信息,这要归功于CorsConfiguration,没有它简单请求也是跨域的。
  2. 但是当我自行设定了一个header之后,再发出的请求将为跨域请求,浏览器报错信息为:Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.,说的很明确了,响应缺少一个运行该源的头。
  3. 对于简单请求,响应头部有Access-Control-Allow-Origin的属性。

问题理解

  1. 网上很多都在说明什么是跨域请求,怎么个流程,这里就不再赘述了。
  2. 需要说明的是,复杂请求会先发送的这个预检请求的方法是OPTIONS,但是及时在CorsConfiguration中allowedMethods中添加该方法依然无济于事。那么此时我们应该对这个预检请求进行单独处理。
  3. 此时即有了问题结论中的过滤器类,并且我们将其声明为最高等级,遇到了OPTIONS方法直接返回并携带对应的头部。

未解决的问题

这里其实有一个很奇怪的现象,在我的这个后端实现中,对于/user路径下的接口,并不需要额外的配置即可获取复杂请求并响应,一旦不在/user路径下,相同的前端请求,相同的后端配置,就会发生跨域,这一点暂时还没有得到清晰的解决。
在添加了filter之后,所有的请求均可以正常响应了。

参考文章:

  1. SpringBoot跨域&预请求
Spring Boot中的请求处理
微赚开发者技术分享博客
06-27 526
在Web开发中,资源共享(CORS)是一个常见的问题,尤其是在前后端分离或微服务架构中。Spring Boot作为Java的热门框架,为我们提供了方便的请求处理机制。然而,在实际开发中,我们经常需要请求数据,这就需要进行请求处理。在实际开发中,我们应该根据具体需求选择合适的处理方式,并注意安全性问题。注解可以用于类级别或方法级别,用于指定哪些源可以访问该方法或该类中的方法。Spring Boot提供了多种处理请求的方式,这里我们介绍两种常用的方法:使用。在这个方法中,我们使用。
自定义请求头(token等)后预检请求被服务器拒绝(报)的解决方法
XD_NML的博客
11-22 2659
起因:由于在自定义请求头后请求会从简单请求转变为复杂请求,(详情可以查看阮一峰先生的博客)复杂请求会提前发送一个预检请求与服务器进行沟通,大概类似于(预检请求:“我可以访问吗?”=>服务器:“可以” =>真实请求),这里有个坑,因为无论服务器是否允许请求,options请求(预检请求)的状态码反馈都是200ok,最开始没反应过来,服务器拒绝了options请求并且报,但是options请求一直都是200ok,导致一直在看真实请求的问题出在哪还有后端是不是没有配置。最简单的方法是看看op.
springboot---检验请求参数
lipviolet的博客
03-23 1047
举例说明自定义注解的实现:需要一个自定义注解来校验入参name不能和已存在name重名自定义注解@Target({//下面三个属性是必须有的属性 String message();Class
Spring Boot 请求(CORS)处理全面指南
最新发布
嗨,欢迎来到我的 优快云 博客小天地!一名深耕多年的技术发烧友。在这里,我将把日常工作中积累的宝贵经验,从复杂架构设计的精妙之处,到代码优化的实战技巧,毫无保留地分享给大家。
04-08 4046
Spring Boot 请求(CORS)处理全面指南
访问-预请求及常见问题
weixin_33682719的博客
03-10 434
预请求 参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Access_control_CORS#预请求 简而言之,在并且尝试添加一些特殊头及自定义头的情况下,由于浏览器的安全机制,会加多一次OPTIONS预请求(询问请求),与服务器协商可以设置的头部信息,可以允许的HTTP协议等等信息。 ...
springboot拦截器预处理请求
DAMN WHERE'D YOU FIND THAT
01-28 904
1.创建LoginRequired和ReturnPage注解,分别表示 是否需要登录来访问 和 返回数据还是页面(因为我没怎么学前端只会new Vue(..)所以只引入了个vue.js和axios.js 没法通过this.$router.push切换页面)。 @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface LoginRequired { } @Target(ElementType.M.
springboot 解决问题
2301_79055083的博客
05-04 924
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
Springboot解决ajax+自定义headers的请求问题
10-16
Spring Boot作为流行的Java后端框架,提供了优雅的解决方案来处理这类问题。 首先,我们来理解什么是是指一个下的文档或脚本尝试请求另一个下的资源,如果两个的协议、名或端口有任何不同,就被...
SpringBoot应用访问解决方案.docx
10-26
针对问题,有多种解决方案,主要分为前端解决方案、使用代理服务器和CORS资源共享)三种类型。 ##### 2.1 前端解决方案 - **HTML资源标签**:`<script>`、`<link>`、`<img>` 和 `<iframe>` 标签不受同源...
SpringBoot:SaToken的options预检请求鉴权失败
席木木的博客
01-12 578
使用如下sa-token配置,前端通过IP+端口号的方式访问后端服务,会存在options预检请求鉴权失败的问题
Springboot解决问题
空佬徒弟
01-03 1033
问题产生于浏览器的同源策略(Same-Origin Policy)。同源策略是一种安全机制,它限制了一个网页从一个源加载的资源如何与来自另一个源的资源进行交互。同源是指协议、名和端口号完全相同。例如,当网页 http://domain1.com/index.html 试图通过 XMLHttpRequest 请求 http://api.domain2.com/data.json 时,由于它们的名不同(domain1.com 和 domain2.com),浏览器会阻止这种请求。
Spring: 在SpringBoot项目中解决前端问题
玉汝于成
03-30 3383
问题,也称为资源共享(CORS,Cross-Origin Resource Sharing)问题,主要出现在Web开发中,尤其是当前端代码和后端代码分别部署在不同的名下时。由于浏览器的同源策略限制,一个的网页中通过JavaScript发起的请求会被浏览器阻止,除非响应报文包含了正确的CORS相关头部信息。同源与源:如果两个页面的协议、名和端口都相同,则它们是同源的;否则,它们是源的。浏览器限制:浏览器默认会阻止源请求,除非后端服务器明确允许这种请求。CORS头部。
springboot】自定义拦截器与自定义过滤器互斥、springsecurity拦截预检请求OPTIONS
weixin_41955471的博客
01-19 2664
问题描述: 由于在项目中自定义了一个拦截器,这个拦截器会在filter过滤器之前执行,并且在此中间还会被springSecurity拦截一次,前端请求会先发送一次预检请求,由于SpringSecurity对该OPTIONS请求进行了拦截,发现头部没有携带Token信息,直接返回了401的状态,浏览器认为预检请求不通过,之后的真实请求当然也认为是不通过的。 解决方案: 因为使用的是SpringBoot+SpringSecurity框架,所以需要编写Cors的配置,并在WebSecurityCon
面试官问:SpringBoot如何彻底解决,举例3种解决方案
Java精选
07-24 366
前后端分离大势所趋,问题更是老生常谈,随便用标题去google或百度一下,能搜出一大片解决方案,那么为啥又要写一遍呢,不急往下看。问题背景:Same Origin Policy,译为“同源策略”。它是对于客户端脚本(尤其是JavaScript)的重要安全度量标准,其目的在于防止某个文档或者脚本从多个不同“origin”(源)装载。它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚...
SpringBoot 请求处理全攻略:从原理到实践
欢迎来到我的技术空间!我是一名经验丰富的Java开发工程师,热衷于分享我在软件开发领域的知识和心得。在这个博客里,您会发现一系列关于Java编程的文章,包括最佳实践、技术趋势、代码优化技巧以及一些有趣的项目案例。无论是初学者还是有经验的开发者,都能在这里找
07-18 1205
本文探讨了Spring Boot请求(CORS)的原理与安全风险,介绍了使用@CrossOrigin注解、WebMvcConfigurer配置、过滤器等技术处理的方法,以及在Spring Security和Spring Cloud Gateway下的CORS策略,是开发者应对挑战的实用指南。
问题配置类
hbj03514的博客
10-25 234
问题配置类
深入浅出HTTP/2预检请求CORS Preflight Request)
小李同学的博客
02-29 1753
深入浅出HTTP/2预检请求CORS Preflight Request)
前后端分离时,解决的问题。预请求
weixin_45648789的博客
02-07 282
前后端分离解决问题,偶然的相遇——options请求--即预检请求
【实战晋级】理解以及工作中问题的处理 - 2 预检请求
zz_jesse的博客
10-15 275
开门见山本文是第2节,紧接上1节这个时代每个人的时间都很宝贵,为了不浪费读者的时间,需要读者自测是否需要阅读本文,如果以下问题你都 ok,那你完全可以 break了。预...
springboot后端处理问题
03-14
### 解决方案 #### 方法一:全局配置CORS过滤器 为了更灵活地控制设置,可以创建一个自定义的`WebMvcConfigurer`并重写`addCorsMappings`方法。这种方式适用于整个应用程序。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com", "http://anotherdomain.com") // 允许多个源 .allowedMethods("*") // 或者指定GET, POST等特定HTTP动词 .maxAge(3600); // 预检请求的有效期为1小时 } }; } } ``` 这种方法能够覆盖所有的控制器和路径模式[^2]。 #### 方法二:使用`@CrossOrigin`注解 对于细粒度的权限管理,在具体的RESTful API接口级别上添加此注解更为合适。这使得开发人员可以直接在需要支持调用的服务端点处声明哪些客户端可以发起请求。 ```java import org.springframework.web.bind.annotation.CrossOrigin; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RestController; @RestController public class MyController { @CrossOrigin(origins = {"http://localhost:8080", "https://www.example.org"}) @GetMapping("/api/data") public ResponseEntity<String> getData(){ return ResponseEntity.ok().body("{\"message\":\"This is some data\"}"); } } ``` 当涉及到IP地址而非标准名时,请注意确保格式正确无误,比如应采用`http://<ip>:<port>`的形式而不是带有额外路径的部分[^3]。 #### 处理与Spring Security集成的情况 如果项目中集成了Spring Security,则还需要调整安全配置以兼容CORS策略。通常情况下,默认的安全设定可能会阻止来自不同来源的请求通过验证流程。因此建议修改Security Config类如下: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors(); // 启用cors支持 super.configure(http); // 继续其他安全规则... } @Bean CorsConfigurationSource corsConfigurationSource() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOriginPattern("*"); config.setMaxAge(3600L); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return source; } } ``` 上述代码片段展示了如何启用CORS以及如何允许凭证共享(即设置`setAllowCredentials(true)`)。请注意,开启凭证共享的同时不能使用通配符作为允许的原点列表的一部分;此时应该明确列出信任的具体站点URL[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值