(一) CORS介绍
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
response响应头:
| 响应头字段名称 | 作用 |
|---|---|
| Access-Control-Allow-Origin | 允许访问的客户端的域名 |
| Access-Control-Allow-Credentials | 是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。 |
| Access-Control-Allow-Headers | 允许服务端访问的客户端请求头 |
| Access-Control-Allow-Methods | 允许访问的HTTP请求方法 |
| Access-Control-Max-Age | 用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。 |
Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解
(二) 服务端配置CORS(Spring boot)
-
简单粗暴,直接写个filter拦截所有请求在response头里加上面的字段.
-
继承WebMvcConfigurerAdapter重写addCorsMappings
public class CorsConfig extends WebMvcConfigurerAdapter {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedHeaders("*")
.allowedMethods("*")
.allowedOrigins("*");
}
}
- 自定义Filter,注册
@Bean
public FilterRegistrationBean corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.addAllowedOrigin("*");
config.setAllowCredentials(true);
config.addAllowedHeader("*");
config.addAllowedMethod("*");
source.registerCorsConfiguration("/**", config);
FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
bean.setOrder(0);
return bean;
}
- @CrossOrigin注解
@CrossOrigin(
origins = "*",
allowCredentials = "true",
allowedHeaders = "*",
methods = RequestMethod.GET,
maxAge = 3600
)
(三) 出现的问题:
由于我使用了Spring Security,即使配置了响应头字段,还是不能访问,经过反复测试,最后想到可能因为我用了Spring Security,而Spring Security拦截了我的请求,导致配置不成功.
解决方法:
- 配置Spring Security,设置不拦截OPTIONS请求
HttpSecurity#authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll()
- 配置CorsFilter优先级,优于Spring Security配置即可
来源:oschina
链接:https://my.oschina.net/u/3551951/blog/1559140