SpringBoot 2.0 @CrossOrigin 无法跨域问题

最新推荐文章于 2025-05-28 13:45:22 发布
最新推荐文章于 2025-05-28 13:45:22 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 后端
在SpringBoot2.0(springframework5.0.2后)中,使用@CrossOrigin注解配置跨域时,需注意allowCredentials默认为false,导致带cookie的跨域请求失败。本文详细解析问题原因,并提供解决方案,通过设置allowCredentials为true来成功实现跨域。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前使用SpringBoot 1.5.x,配置跨域一般是直接在controller或是在某一个方法上添加 @CrossOrigin 注解即可,如下代码

/**
 * @author chenws
 * @decription
 * @date 2018/10/18
 */
@RestController
@RequestMapping(value = "xxx")
@CrossOrigin(maxAge = 3600)
public class BuildShapeController {
 
        @CrossOrigin(maxAge = 3600)
	@ApiOperation("xxx")
	@RequestMapping(value = "/xxx",method = RequestMethod.POST)
	public ResponseVO<List<xxx>> listShape(@RequestBody xxx xxx){}
}

没有任何问题,使用的非常好,但是在spring boot 2.0中(springframework5.0.2后),以上方法行不通,这样设置无效。在网上找了n篇文章,都是按照SpringBoot 1.x的方法介绍的,始终无法解决,知道发现碩果兄的这篇文章,问题才得以解决,再次表示万分感谢。文章地址:SpringBoot 2.0 @CrossOrigin 无法跨域问题

查看@CrossOrigin源码

springframework4.3.12:


   /**
	 * Whether the browser should include any cookies associated with the
	 * domain of the request being annotated.
	 * <p>Set to {@code "false"} if such cookies should not included.
	 * An empty string ({@code ""}) means <em>undefined</em>.
	 * {@code "true"} means that the pre-flight response will include the header
	 * {@code Access-Control-Allow-Credentials=true}.
	 * <p>If undefined, credentials are allowed.
	 */
	String allowCredentials() default "";

springframework5.0.2

   /**
	 * Whether the browser should send credentials, such as cookies along with
	 * cross domain requests, to the annotated endpoint. The configured value is
	 * set on the {@code Access-Control-Allow-Credentials} response header of
	 * preflight requests.
	 * <p><strong>NOTE:</strong> Be aware that this option establishes a high
	 * level of trust with the configured domains and also increases the surface
	 * attack of the web application by exposing sensitive user-specific
	 * information such as cookies and CSRF tokens.
	 * <p>By default this is not set in which case the
	 * {@code Access-Control-Allow-Credentials} header is also not set and
	 * credentials are therefore not allowed.
	 */
	String allowCredentials() default "";

By default this is not set in which case the {@code Access-Control-Allow-Credentials} header is also not set and credentials are therefore not allowed.

5.0.2后,allowCredentials默认为false了,再看 DefaultCorsProcessor

if (Boolean.TRUE.equals(config.getAllowCredentials())) {
 
	responseHeaders.setAccessControlAllowCredentials(true);
 
}

allowCredentialstrue时,返回的响应头AccessControlAllowCredentials属性才设置为true

因此凡是客户端带上cookie的请求,都不能实现跨域。

 

解决办法:

在注解中设置allowCredentialstrue即可。

@CrossOrigin(allowCredentials="true",maxAge = 3600)

至此,问题完美解决

SpringBoot:解决前后端请求问题(详细教程)
web15085096641的博客
01-17 1267
在前后端交互的项目中,首先要解决的就是问题,这个问题是由于浏览器的同源策略导致的,这种策略是一种安全机制,它要求网页的协议、名以及端口都完全相同,才允许一个下的网页去访问另一个的资源,只要这三者中有一个不同,就会产生的情况。这篇文章是通过在后端来解决问题的,而如果想在前端解决的话,我们一般会使用一个代理服务器来解决。
springboot处理前后端分离时问题
凡繁烦的博客
04-14 321
随着分布式微服务的兴起,越来越多的公司在开发web项目的时候选择前后端分离的模式开发,前后端分开部署,使得分工更加明确,彻底解放了前端。 我们知道,http请求都是无状态,现在比较流行的都是jwt的形式处理无状态的请求,在请求头上带上认证参数(token等),前后端分离有好处,也有坏处,第一次开发前后端分离项目的人,肯定会遇到前端请求问题,这个怎么处理呢?在说处理方案前,有必要说明一下为什么会和什么是? 一、为什么会? 出于浏览器的同源策略限制。同源策略(Sameoriginp.
SpringBoot解决CORS——@CrossOrigin
一个写了10年bug的程序员日常笔记。
05-15 600
前端请求后端报错了。状态码:403返回错误:Invalid coRs request一个注解就搞定了。在类上加。
SpringBoot中解决问题
最新发布
Wanankl的博客
05-28 460
除了在Spring Boot中直接处理问题,我们还可以通过Nginx来解决问题。这种方式将处理逻辑从后端代码中分离出来,由Nginx代理完成支持。如果项目中的所有接口都需要支持,全局配置CORS是一种更优雅的解决方案。我们可以通过实现WebMvcConfigurer接口来完成全局配置。如果需要更灵活的处理逻辑,可以自定义一个过滤器来实现支持。是Spring提供的另一种实现的方式,它通过过滤器来处理请求。这种方式同样可以实现全局配置。四、通过自定义过滤器实现
SpringBoot解决CORS@CrossOrigin
热门推荐
浅然的专栏
07-21 11万+
一、关于介绍 在前后分离的架构下,问题难免会遇见比如,站点 http://domain-a.com 的某 HTML 页面通过 的 src 请求 http://domain-b.com/image.jpg。网络上的许多页面都会加载来自不同的CSS样式表,图像和脚本等资源。 出于安全原因,浏览器限制从脚本内发起的源HTTP请求。 例如,XMLHttpRequest和Fetch API...
ajax处理 No 'Access-Control-Allow-Origin' header is present on the requested resource 问题
weixin_30820151的博客
08-22 780
Controller层的类上增加@CrossOrign注解,当前文件的所有接口就都可以被调用 spring注解@CrossOrigin不起作用的原因 1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin 2、非@CrossOrigin没有解决请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示问题。 3、在Controlle...
SpringBoot注解@CrossOrigin
weixin_45816407的博客
01-15 327
springBoot注解 : @CrossOrigin 在controller控制类上方加注解; spring注解@CrossOrigin不起作用的原因 1、是springMVC的版本要在4.2或以上版本才支持@CrossOrigin 2、非@CrossOrigin没有解决请求问题,而是不正确的请求导致无法得到预期的响应,导致浏览器端提示问题。 3、在Controller注解上方添加@CrossOrigin注解后,仍然出现问题,解决方案之一就是: 在@RequestMapping注解中没
Java Spring boot 2.0 问题的解决
08-27
Java Spring Boot 2.0 问题的解决 Java Spring Boot 2.0 问题是一个常见的问题,在 Web 开发中,使用站 HTTP 请求加载各类资源已经成为了一种普遍且流行的方式。然而,出于安全考虑,浏览器会限制脚本中...
关于前端CORS问题的解决和踩坑注意事项
weixin_74771113的博客
07-27 1430
关于:什么是,这个问题,比如这个网址是由协议,主机(),端口号组成,必须要同源(也就是访问地址必须完全相同才可以进行访问),这样会非常不方便。比如一个由公共网站(),需要访问()请求其资源,但是这样显然不行,因为这两个主机地址明显就不一样,是两个不同的。那么那些公共网站如何解决这个问题,这就涉及到了CORS切记只和浏览器有关首先要说明一下从到不属于,而是同源,相当于前端向这个主机发送了一个请求book,假设,我访问了一个前端页面,而这个前端页面所在的服务器地址为。
前后端分离实践(二)—— 使用Springboot2.0搭建REST风格的Java后端架构
云卷云舒的架构师之路
05-15 3209
前后端分离实践系列文章总目录 目录 一、统一的JSON数据返回格式 1、JSON响应结构预览 2、JSON响应结构与Java类的映射 3、添加Springboot-web模块的Maven依赖 4、新建一个Controller类编写JSON响应结构的测试方法 5、测试JSON响应结构 二、集成Swagger2进行在线接口文档维护 1、添加Swagger2的Maven依赖 2、在S...
实战,SpringBoot中如何解决CORS问题
王不困的博客
03-31 377
CORS(Cross-Origin Resource Sharing)"资源共享",是一个W3C标准,它允许浏览器向服务器发送Ajax请求,打破了Ajax只能访问本站内的资源限制。下面看一下如何让你的SpringBoot项目支持CORS
注解@CrossOrigin的作用
cat marshal的博客
08-30 7230
原文链接 https://www.cnblogs.com/mmzs/p/9167743.html#_label1_0 注解@CrossOrigin 出于安全原因,浏览器禁止Ajax调用驻留在当前原点之外的资源。例如,当你在一个标签中检查你的银行账户时,你可以在另一个选项卡上拥有EVILL网站。来自EVILL的脚本不能够对你的银行API做出Ajax请求(从你的帐户中取出钱!)使用您的凭据。 ...
SpringBoot中的@CrossOrigin注解
weixin_46223196的博客
09-02 2258
对于源码是如此解释的 Annotation for permitting cross-origin requests on specific handler classes and/or handler methods. 用于允许特定处理程序类和/或处理程序方法上的源请求的注释。 在SpringBoot使用中,是常见的问题,如果是局部处理,则只需要加入这个注解,如下所示 @CrossOrigin public class ImpCoreController { } @CrossOrigin
springBoot CORS注解@CrossOrigin
allway2的博客
01-28 5680
1、概述 在任何现代浏览器中,随着 HTML5 和 JS 客户端的出现,资源共享 (CORS)是一项相关规范,这些客户端通过 REST API 使用数据。 通常,服务于 JS 的主机(例如 example.com)与服务于数据的主机(例如 api.example.com)是不同的。在这种情况下,CORS 可以实现通信。 Spring 为 CORS 提供一流的支持,为在任何 Spring 或 Spring Boot Web 应用程序中配置它提供了一种简单而强大的方式。 2.控制器方法COR
springboot@CrossOrigin的作用
Lemon_MY的博客
06-07 1540
在controller上添加@CrossOrigin注解用来开启请求,让其他的请求可以访问该controller,否则所有其他的访问会全部被拒绝。
@CrossOrigin注解没有生效的解决方案
m0_62872257的博客
02-15 1107
查看springboot版本,如果是2.0以后版本,allowCredentials属性的默认值为false,返回的响应头AccessControlAllowCredentials属性值也为false,如果客户端携带cookie的请求这时是不能访问的,所以需要手动在注解中设置allowCredentials为true
springboot访问cros,@CrossOrigin注解
YMYYZ的博客
01-09 1万+
1.springboot访问cros,@CrossOrigin注解 2.浏览器协议的默认端口号
踩坑!springboot对接vue axios报问题
qq_29669265的博客
02-18 1224
Access to XMLHttpRequest at 'localhost:8081/book/getAll' from origin 'http://localhost:8080' has been blocked by CORS policy: Cross origin requests are only supported for protocol schemes: http, data,...
SpringBoot教程(七) | SpringBoot解决问题
qq_20236937的博客
07-06 886
当一个请求url的协议、名、端口三者之间任意一个与当前页面url不同即为
@CrossOrigin注解无法使用getMD5String
03-13
<think>好的,我现在需要解决用户在使用@CrossOrigin注解后无法调用getMD5String方法的问题。首先,我得理清楚问题可能的原因。 用户提到在配置了后,某个具体的方法失效了。这说明配置可能影响到了该方法。首先,我应该检查@CrossOrigin的用法是否正确。这个注解可以用在类或方法上,如果类上已经配置了,方法上的配置可能会有冲突。比如,如果类上的注解覆盖了某些设置,可能导致方法级别的配置失效。 然后,考虑配置是否影响到了其他拦截器或过滤器。例如,Shiro或Spring Security的权限验证可能会因为配置而拦截请求。用户之前提到过Shiro的问题,比如没有认证导致错误,所以需要检查是否有权限相关的拦截器阻止了方法的调用。可能需要在Shiro的配置中放行相关路径,或者在Spring Security中配置设置,而不是仅仅依赖@CrossOrigin。 另外,浏览器的CORS预检请求(OPTIONS)是否被正确处理?如果后端没有处理OPTIONS请求,可能导致真正的请求(如POST或GET)无法到达方法。需要确认服务器是否对OPTIONS请求返回了正确的响应头,允许访问。 还有可能是方法本身的路径或请求方式不匹配。比如,@CrossOrigin配置的origins、methods或allowedHeaders与实际请求不符,导致预检失败,从而无法调用方法。需要检查注解中的属性是否与前端请求一致。 另外,日志信息也很重要。用户提到整合了Log4J,可能需要查看日志输出,确认是否有异常或错误信息,比如权限拒绝或方法找不到。如果getMD5String方法需要特定的参数或请求体,可能因为配置导致参数解析失败,比如多RequestBody的问题,参考用户提到的引用[1],可能需要自定义参数解析器。 最后,可能需要全局配置,而不是使用注解。比如,通过WebMvcConfigurer来配置全局设置,避免注解被其他配置覆盖。同时,确保Spring Boot的版本兼容,某些版本可能存在处理的bug,需要升级或调整配置。 总结可能的原因:注解配置冲突、权限拦截器拦截、预检请求处理不当、参数不匹配、参数解析问题等。解决方案应逐步排查这些可能性,调整配置,查看日志,确保所有环节都允许访问。</think>### 问题分析:使用@CrossOrigin注解后无法调用getMD5String方法 #### 1. **检查@CrossOrigin注解配置** - **作用范围**:确认注解是否直接标注在`getMD5String`方法或所在控制器类上。例如: ```java @RestController @CrossOrigin(origins = "*", allowedHeaders = "*") // 类级别配置 public class YourController { @GetMapping("/md5") @CrossOrigin // 方法级别配置(若需要覆盖类级别配置) public String getMD5String() { // ... } } ``` - **属性匹配**:检查`origins`、`methods`、`allowedHeaders`是否与前端请求匹配。例如前端使用`POST`但注解仅允许`GET`会导致失败。 #### 2. **权限框架拦截(如Shiro)** - **路径放行**:若使用Shiro,可能拦截了请求。在Shiro配置中放行`/md5`路径: ```java @Bean public ShiroFilterChainDefinition shiroFilter() { DefaultShiroFilterChainDefinition chain = new DefaultShiroFilterChainDefinition(); chain.addPathDefinition("/md5", "anon"); // 匿名访问 return chain; } ``` - **认证状态检查**:确保请求中携带了必要的Token或Session信息(参考引用[^2]中提到的Shiro认证问题)。 #### 3. **预检请求(OPTIONS)处理** - **自动处理**:Spring Boot默认会处理OPTIONS请求,但若自定义了拦截器(如登录拦截器),需手动放行OPTIONS请求: ```java public class YourInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { if ("OPTIONS".equalsIgnoreCase(request.getMethod())) { response.setStatus(HttpStatus.OK.value()); return false; } return true; } } ``` #### 4. **全局配置覆盖** - **替代注解方案**:使用`WebMvcConfigurer`全局配置,避免注解冲突: ```java @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("*") .allowedHeaders("*"); } } ``` #### 5. **参数解析问题** - **多RequestBody冲突**:若`getMD5String`方法需要多个`@RequestBody`参数,需实现自定义解析器(参考引用[^1]): ```java public class MultiRequestBodyResolver implements HandlerMethodArgumentResolver { @Override public boolean supportsParameter(MethodParameter parameter) { return parameter.hasParameterAnnotation(RequestBody.class); } @Override public Object resolveArgument(/* 参数解析逻辑 */) { // 自定义解析逻辑 } } ``` #### 6. **日志排查** - **启用详细日志**:通过Log4J输出详细调试信息(参考引用[^3]): ```xml <!-- log4j2.xml --> <Configuration> <Loggers> <Logger name="org.springframework.web" level="debug"/> </Loggers> </Configuration> ``` - **检查异常堆栈**:查看是否有`Access-Control-Allow-Origin`缺失、`405 Method Not Allowed`或权限拒绝日志。 --- ### 最终解决方案步骤 1. **优先使用全局配置**,禁用`@CrossOrigin`注解测试是否恢复。 2. **检查Shiro/Security放行规则**,确保路径未被拦截。 3. **捕获请求日志**,确认请求头、方法类型与后端配置一致。 4. **升级Spring Boot版本**(若版本低于2.4.x,存在相关兼容性问题)。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值