记一次spring boot升级跨域问题的坑

最新推荐文章于 2025-06-28 15:48:37 发布
原创 最新推荐文章于 2025-06-28 15:48:37 发布 · 2.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍SpringBoot 2.4.0版本中跨域配置的常见错误及解决办法,特别是针对使用CorsFilter时出现的问题。由于版本更新引入的新特性导致原有配置失效,文章提供了详细的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当前使用版本spring boot2.4.0,跨域配置如下:

package com.geostar.job.admin.conf;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @author 95844
 * 使用addCorsMappings(CorsRegistry registry)配置之后再使用自定义拦截器时跨域相关配置就会失效。
 * 原因是请求经过的先后顺序问题,当请求到来时会先进入拦截器中,而不是进入Mapping映射中,所以返回的头信息中并没有配置的跨域信息。浏览器就会报跨域异常。
 * 所以此处使用CorsFilter过滤器解决跨域问题
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration corsConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
    /* 请求常用的三种配置,*代表允许所有,当时你也可以自定义属性(比如header只能带什么,只能是post方式等等)
    */
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(3600L);
        return corsConfiguration;
    }
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig());
        return new CorsFilter(source);
    }
}

我相信大家跟我一样,新建项目时这种配置类基本都是直接从老项目复制粘贴过来的,根本不会多想。

本地测试服务一切正常,部署到服务器几天了,自己通过swagger页面用了都没问题,今天前端才对接服务一上来就是跨域报错。。。。

这时就想了这跨域设置都在多少个项目上用了咋到这个不行了,经验主义告诉我不会出问题也没查日志啥的,因为本地服务玩了很多天了没见过什么报错信息。最后实在是找不到原因,看了下服务器运行日志,启动的时候果然报错了,尴尬至极!!!

然后赶紧灰溜溜的查看原因。

原来是因为升级后spring boot2.4.0对应的spring5.3.1的CorsFilter类针对CorsConfiguration新增了校验

源码如下:

/**
 * {@link javax.servlet.Filter} to handle CORS pre-flight requests and intercept
 * CORS simple and actual requests with a {@link CorsProcessor}, and to update
 * the response, e.g. with CORS response headers, based on the policy matched
 * through the provided {@link CorsConfigurationSource}.
 *
 * <p>This is an alternative to configuring CORS in the Spring MVC Java config
 * and the Spring MVC XML namespace. It is useful for applications depending
 * only on spring-web (not on spring-webmvc) or for security constraints that
 * require CORS checks to be performed at {@link javax.servlet.Filter} level.
 *
 * <p>This filter could be used in conjunction with {@link DelegatingFilterProxy}
 * in order to help with its initialization.
 *
 * @author Sebastien Deleuze
 * @since 4.2
 * @see <a href="https://www.w3.org/TR/cors/">CORS W3C recommendation</a>
 * @see UrlBasedCorsConfigurationSource
 */
public class CorsFilter extends OncePerRequestFilter {

	private final CorsConfigurationSource configSource;

	private CorsProcessor processor = new DefaultCorsProcessor();


	/**
	 * Constructor accepting a {@link CorsConfigurationSource} used by the filter
	 * to find the {@link CorsConfiguration} to use for each incoming request.
	 * @see UrlBasedCorsConfigurationSource
	 */
	public CorsFilter(CorsConfigurationSource configSource) {
		Assert.notNull(configSource, "CorsConfigurationSource must not be null");
		this.configSource = configSource;
	}


	/**
	 * Configure a custom {@link CorsProcessor} to use to apply the matched
	 * {@link CorsConfiguration} for a request.
	 * <p>By default {@link DefaultCorsProcessor} is used.
	 */
	public void setCorsProcessor(CorsProcessor processor) {
		Assert.notNull(processor, "CorsProcessor must not be null");
		this.processor = processor;
	}


	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
			FilterChain filterChain) throws ServletException, IOException {

		CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
		boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
		if (!isValid || CorsUtils.isPreFlightRequest(request)) {
			return;
		}
		filterChain.doFilter(request, response);
	}

}

类CorsFilter继承自OncePerRequestFilter,doFilterInternal方法会被执行。类中还创建了一个默认的处理类DefaultCorsProcessor,doFilterInternal调用this.processor.processRequest
往下看

processRequest——>handleInternal——>checkOrigin注意关键方法来了

	/**
	 * Check the origin of the request against the configured allowed origins.
	 * @param requestOrigin the origin to check
	 * @return the origin to use for the response, or {@code null} which
	 * means the request origin is not allowed
	 */
	@Nullable
	public String checkOrigin(@Nullable String requestOrigin) {
		if (!StringUtils.hasText(requestOrigin)) {
			return null;
		}
		if (!ObjectUtils.isEmpty(this.allowedOrigins)) {
			if (this.allowedOrigins.contains(ALL)) {
				validateAllowCredentials();
				return ALL;
			}
			for (String allowedOrigin : this.allowedOrigins) {
				if (requestOrigin.equalsIgnoreCase(allowedOrigin)) {
					return requestOrigin;
				}
			}
		}
		if (!ObjectUtils.isEmpty(this.allowedOriginPatterns)) {
			for (OriginPattern p : this.allowedOriginPatterns) {
				if (p.getDeclaredPattern().equals(ALL) || p.getPattern().matcher(requestOrigin).matches()) {
					return requestOrigin;
				}
			}
		}
		return null;
	}

然后看到:validateAllowCredentials这个方法

	/**
	 * Validate that when {@link #setAllowCredentials allowCredentials} is true,
	 * {@link #setAllowedOrigins allowedOrigins} does not contain the special
	 * value {@code "*"} since in that case the "Access-Control-Allow-Origin"
	 * cannot be set to {@code "*"}.
	 * @throws IllegalArgumentException if the validation fails
	 * @since 5.3
	 */
	public void validateAllowCredentials() {
		if (this.allowCredentials == Boolean.TRUE &&
				this.allowedOrigins != null && this.allowedOrigins.contains(ALL)) {

			throw new IllegalArgumentException(
					"When allowCredentials is true, allowedOrigins cannot contain the special value \"*\"" +
							"since that cannot be set on the \"Access-Control-Allow-Origin\" response header. " +
							"To allow credentials to a set of origins, list them explicitly " +
							"or consider using \"allowedOriginPatterns\" instead.");
		}
	}

这就是刚才看到的报错信息,这里是说allowCredentials为true时并且allowedOrigins不为空且为ALL(这个ALL就是*)时就会抛出异常。

	/** Wildcard representing <em>all</em> origins, methods, or headers. */
	public static final String ALL = "*";

修改:

继续使用CorsFilter,使用官方推荐的allowedOriginPatterns即可,如下

package com.geostar.job.admin.conf;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

/**
 * @author 95844
 * 使用addCorsMappings(CorsRegistry registry)配置之后再使用自定义拦截器时跨域相关配置就会失效。
 * 原因是请求经过的先后顺序问题,当请求到来时会先进入拦截器中,而不是进入Mapping映射中,所以返回的头信息中并没有配置的跨域信息。浏览器就会报跨域异常。
 * 所以此处使用CorsFilter过滤器解决跨域问题
 */
@Configuration
public class CorsConfig {
    private CorsConfiguration corsConfig() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
    /* 请求常用的三种配置,*代表允许所有,当时你也可以自定义属性(比如header只能带什么,只能是post方式等等)
    */
        corsConfiguration.addAllowedOriginPattern("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(3600L);
        return corsConfiguration;
    }
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig());
        return new CorsFilter(source);
    }
}

 

Spring Boot问题终极解决方案:8种方法全解(含网关、Nginx与动态配置)
墨夶的博客
06-26 770
本文全面解析问题(CORS)的8种实战解决方案,涵盖应用层、网关层和代理层。在Spring Boot应用层提供5种方法:从局部注解@CrossOrigin、全局WebMvcConfigurer配置、CorsFilter过滤器,到动态校验和响应拦截增强。网关层介绍2种方案:Spring Cloud Gateway的全局配置和动态路由策略。最后讲解Nginx反向代理的处理。每种方案均附代码示例,并分析优缺点和适用场景,帮助开发者根据实际需求选择最优解。文章注重实战,适用于前后端分离开发中各种
Spring Boot项目中解决问题(四种方式)
m0_74825238的博客
02-15 988
当一个浏览器的两个tab页中分别打开来自百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的,即检查是否同源,只有和百度同源的脚本才会被执行。有四种方法解决。我们还可以在Network里看到,浏览器在发送我们输入的用户名,密码等数据之前,还发送了一次OPTIONS的请求,这是浏览器自动发送的,为了验证是否允许访问。*,这个在开发测试的时候可以这么设置,但如果是生产环境,建议不要设置成*,最好是允许哪些名访问就设置哪些,毕竟限制名还是很有必要的。
Spring boot配置全局未生效,访问接口报错解决办法!
qq_41645986的博客
11-30 5648
问题描述:访问项目接口报错,以下为报错信息 java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*"since that cannot be set on the “Access-Control-Allow-Origin” response header. To allow credentials to a set of orig
SpringBoot 配置问题处理
John的博客
07-17 1531
目前我只用一种方法,专门用过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentials 和AllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
问题导致的websocket连接失败问题
最新发布
suiyuan123222的博客
06-28 277
websocket配置导致连接失败
【解决】When allowCredentials is true, allowedOrigins cannot contain the special value “*“ since
热门推荐
杨大仙
03-21 1万+
详细报错信息: java.lang.IllegalArgumentException: When allowCredentials is true, allowedOrigins cannot contain the special value "*" since that cannot be set on the "Access-Control-Allow-Origin" response header. To allow credentials to a set of origins, list t
SpringBoot 优雅配置多种方式及Spring Security访问配置的
daTou
08-28 9305
前言 最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到,但我怎么配置也没有生效,这里有一个,在使用Spring Security时候单独配置,SpringBoot 越还不行,还需要配置Security 才行。 什么是 是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问 在 HTML 中,<a>, <form>, <img>, <script&g
Spring boot配置Cors 指定ip失效解决方法
qq_21696621的博客
07-06 2179
package com.imooc.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfiguratio.
Java Spring boot 2.0 问题的解决
08-27
Java Spring Boot 2.0 问题的解决 Java Spring Boot 2.0 问题是一个常见的问题,在 Web 开发中,使用站 HTTP 请求加载各类资源已经成为了一种普遍且流行的方式。然而,出于安全考虑,浏览器会限制脚本中...
详解Spring Boot 2.0.2+Ajax解决请求的问题
08-26
"详解Spring Boot 2.0.2+Ajax解决请求的问题" 知识点1:什么是请求? 请求是指浏览器从一个名下的网页去请求另一个名下的资源时,会出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
spring boot3解决的几种方式
蒾酒的博客
03-01 7166
本文介绍了spring boot中三种解决问题的方式,坚持看完相信对你有帮助。同时欢迎订阅springboot系列专栏,持续分享spring boot的使用经验。通过实现 WebMvcConfigurer 接口来自定义 WebMvc 配置,并覆盖 addCorsMappings 方法以配置全局规则。/***/@Overrideregistry.addMapping("/**") // 对所有路径生效.allowedOrigins("*") //允许所有源地址。
解决问题
weixin_43580824的博客
03-21 173
/ 允许任何方法(post、get等)corsConfiguration.addAllowedOrigin("*");// 允许任何名使用。// 4 对接口配置设置。
Spring boot 2.0 升级到 3.3.1 的相关问题 (八)
飞一站的博客
08-12 508
解决Spring boot 2.0升级到3.3.1 版本的 flyway 不能使用和 请求出错的问题
解决(CORS)问题
Java技术攻略的博客
03-07 1935
CORS全称Cross-Origin Resource Sharing,意为资源共享。当一个资源去访问另一个不同名或者同名不同端口的资源时,就会发出请求。如果此时另一个资源不允许其进行资源访问,那么访问的那个资源就会遇到问题
新版 springboot-前后端分离-设置的五种方法以及遇到的
醉瑾_的博客
03-31 1924
用到的版本: springboot 2.6.5 security 5.6.2 spring framework 5.3.17 1 注解 @CrossOrigin (局部) 用在需要的controller接口上或用在某个方法之上 eg: @CrossOrigin(origins = "http://xxx.com", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController {
使用CORS解决问题
熊诗言的博客
02-21 3341
后端接口和前端分离的时候,很多情况下会遇到问题。这是浏览器的同源策略导致的,同源策略是为了Web安全提出的,说的是两个不同源的网址默认是不能请求对方的接口的。不同源包含:协议(http|https)、ip/名、端口之一不同就是不同源。不同源的网页请求接口都要遵循浏览器的同源策略。 解决问题有两种方案,都需要服务端支持才可以。 一种是JSON...
java配置springboot配置Cors
29岁的裴野永远爱你
11-06 1433
概念: 前端对Cross-Origin Resource Sharing 问题(CORS,中文又称’’)应该很熟悉了。众所周知出于安全的考虑,浏览器有个同源策略,对于不同源的站点之间的相互请求会做限制(限制是浏览器行为,不是服务器行为。)。不过下午想到了一个略无趣的问题:浏览器和服务器到底是如何判定有没有呢?本文主要分两个部分,一是对这个问题的总结,二是nginx下如何配置服务器允许...
spring 2.7.14 cors 设置 allowedOrigins(“*“)通配符 失效怎么解决
m0_53653818的博客
08-12 2281
allowCredentials(true)被设置成了ture,说明浏览器应该在请求时携带凭证(credential),如果使用*作为通配符会导致安全问题,所以会导致通配符。将allowCredentials()设置为false。
spring配置CORS后未返回Access-Control-Allow-Origin的踩解决
07-09 7145
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
spring boot STOMP问题
03-04
### 解决Spring Boot中STOMP的问题 为了在Spring Boot项目中配置STOMP并解决问题,可以采取以下措施: 当`allowCredentials`设置为`true`时,`allowedOrigins`不能包含特殊值`*`,因为这无法被设置到响应...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值