spring boot security 跨域配置

最新推荐文章于 2025-05-11 14:11:29 发布
最新推荐文章于 2025-05-11 14:11:29 发布
阅读量972 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:https://my.oschina.net/u/1161526/blog/3066898
本文详细解析了CORS跨域请求错误的原因,即服务器响应头缺失'Access-Control-Allow-Origin'字段,导致浏览器根据同源策略拦截请求。提供了三种解决方案,包括使用WebMvcConfigurerAdapter进行跨域配置、重新定义FilterRegistrationBean以及在SpringSecurity项目中添加CORS支持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

已拦截跨源请求:同源策略禁止读取位于 http*****的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

原因

 CORS一般不需要在浏览器配置,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。
服务器根据这个值,决定是否同意这次请求,也就是说服务器会存在一份白名单,说明哪一些源是可以被允许的,而Access-Control-Allow-Origin就是包含在回应头里的白名单。
浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,也就是你遇到的提示,是返回结果被浏览器拦截了,而不是请求发不出。
所以你需要的是在服务器上配置这个白名单,而不是更改页面

解决方案

  1. WebMvcConfigurerAdapter
@Configuration
public class WebConfiguration extends WebMvcConfigurerAdapter {
    /**
     * 跨域配置
     *
     * @param registry 注册器
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedHeaders("*").allowedOrigins("*");
    }
}
  1. 重新定义FilterRegistrationBean
@Configuration
public class MyConfiguration {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://domain1.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

CORS with Spring Security

项目采用了Spring Security,则还需要加以下配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            //允许跨域
            .cors().and()
            ...
    }
}

参考:

https://www.jianshu.com/p/87e1ef68794c

http://www.saily.top/2016/12/29/spring-security-cors/

转载于:https://my.oschina.net/u/1161526/blog/3066898

chijiantui5894
关注
SpringSecurity(09)——域配置
peng_gx的博客
01-19 863
SpringSecurity域配置
springSpringboot设置访问 & Spring Security设置访问
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 718
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security
SpringSecurity
Littewood的博客
07-24 6126
SpringSecurity解决
Spring Boot项目问题解决方案详解-五种方案(附实战代码)
最新发布
wek12345的博客
05-11 839
allowCredentials(true)时,不能使用allowedOrigins("*"),需改为allowedOriginPatterns("*")或指定具体名。.allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的HTTP方法。前端运行在 http://localhost:8080,后端接口在 http://localhost:9090,此时浏览器会拦截请求。registry.addMapping("/**") // 所有接口。
SpringSecurity域配置
weixin_64443786的博客
07-13 1886
SpringSecurity
Spring Security——09,解决
weixin_42858422的博客
04-07 2382
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要访问还要让SpringSecurity运行访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决请求,拿到token。填入一个正确的密码,认证成功。
security域配置
程序员一博
08-01 2263
CORS是w3c指定的一种资源共享的请求资源方式,体现就是协议+ip+端口三个相同才是同源,否则就是,早期javaEE解决方案是JSONP,Jsonp(JSONwithPadding)是json的一种"使用模式",可以让网页从别的名(网站)那获取资料,即读取数据。但是jsonp只支持get方式,而CORS支持多种请求方式,是目前主流的解决方案。...
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2545
Springboot +spring security,解决问题
Spring securitySpring cloud gateway 域配置(解决Spring cloud gateway域配置不生效的问题)
szw-yunie的博客
04-09 4033
Spring securitySpring cloud gateway 域配置(解决Spring cloud gateway域配置不生效的问题)
spring boot security 设置
06-28
Spring Boot Security 中,可以通过配置 CorsFilter 来实现。在 WebSecurityConfigurerAdapter 中添加以下代码: ``` @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = ...
(新)Spring Security如何实现
·
06-23 664
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是的HTTP请求。默认情况下是被禁止的。同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在请求的问题。所以我们就要处理一下,让前端能进行请求。
SpringBoot允许访问
vip2193的博客
08-24 562
该文章转至SpringBoot官网 http://spring.io/blog/2015/06/08/cors-support-in-spring-framework 现在开发的项目一般都是前后端分离的项目,所以访问会经常使用。 出于安全原因,浏览器禁止对驻留在当前源之外的资源进行AJAX调用。例如,当您在一个标签中检查您的银行帐户时,您可以将evil.com网站放在另一个标签中。来自e...
Spring Security(七) ——域配置
eyes++的博客
07-26 4110
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的资源共享技术标准,其目的就是为了解决前端的请求,该机制通过允许服务器标示除了它自己以外的其它origin(,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。...
Spring Security (CORS)资源访问配置
weixin_34248487的博客
01-29 607
1、CORS介绍 CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信...
Spring Security 中,请求(CORS)的处理
weixin_45428910的博客
10-27 604
Spring Security 中,请求(CORS)的处理
SpringSecurity学习(六)CORS、异常处理
Huathy的博客
03-12 3938
CORS是W3C的一种资源共享技术标准,目的是为了解决前端请求(浏览器同源策略会对请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
spring security
weixin_46453221的博客
08-20 296
1.全局配置 1.点击参考我的spring boot全局配置 2.也可进行下边代码配置 @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfig
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值