Spring Security攔截器引起Java CORS跨域失敗的問題及解決

在已設置CORS的項目中加入Spring Security，導致跨域訪問失敗，一開始以為是設置錯CORS的問題，后來才發現是因為Spring Security的攔截沖突引起的。

(一) CORS介紹

CORS是一個W3C標準，全稱是”跨域資源共享”（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務器，發出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

response響應頭響應頭字段名稱 作用 Access-Control-Allow-Origin 允許訪問的客戶端的域名 Access-Control-Allow-Credentials 是否允許請求帶有驗證信息，若要獲取客戶端域下的cookie時，需要將其設置為true。 Access-Control-Allow-Headers 允許服務端訪問的客戶端請求頭 Access-Control-Allow-Methods 允許訪問的HTTP請求方法 Access-Control-Max-Age 用來指定預檢請求的有效期(秒)，在有效期內不在發送預檢請求直接請求。

Cors詳細介紹請看阮一峰的跨域資源共享 CORS 詳解

(二) 服務端配置CORS(Spring boot)

1、直接寫個filter攔截所有請求在response頭里加上面的字段.

2、繼承WebMvcConfigurerAdapter重寫addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedHeaders('*') .allowedMethods('*') .allowedOrigins('*'); }}

自定義Filter,注冊

@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin('*'); config.setAllowCredentials(true); config.addAllowedHeader('*'); config.addAllowedMethod('*'); source.registerCorsConfiguration('/**', config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0);//配置CorsFilter優先級 return bean; }

@CrossOrigin注解

@CrossOrigin(origins = '*',allowCredentials = 'true',allowedHeaders = '*',methods = RequestMethod.GET,maxAge = 3600)(三) 出現的問題

即使配置了響應頭字段，還是不能跨域訪問，經過反復測試發現，GET請求可以訪問，PUT請求無法訪問，突然想起:非簡單請求會發起一個OPTIONS方法的預檢請求，而我用了Spring Security攔截了所有請求，只開放部分請求，所以需要在Spring Security中設置不攔截OPTIONS方法的請求。

解決方法

配置Spring Security,設置不攔截OPTIONS請求

HttpSecurity#authorizeRequests() .antMatchers(HttpMethod.OPTIONS) .permitAll()

配置CorsFilter優先級，優于Spring Security配置即可！

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。