在已設(shè)置CORS的項(xiàng)目中加入Spring Security，導(dǎo)致跨域訪問(wèn)失敗，一開(kāi)始以為是設(shè)置錯(cuò)CORS的問(wèn)題，后來(lái)才發(fā)現(xiàn)是因?yàn)镾pring Security的攔截沖突引起的。

(一) CORS介紹

CORS是一個(gè)W3C標(biāo)準(zhǔn)，全稱是”跨域資源共享”（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請(qǐng)求，從而克服了AJAX只能同源使用的限制。

response響應(yīng)頭響應(yīng)頭字段名稱 作用 Access-Control-Allow-Origin 允許訪問(wèn)的客戶端的域名 Access-Control-Allow-Credentials 是否允許請(qǐng)求帶有驗(yàn)證信息，若要獲取客戶端域下的cookie時(shí)，需要將其設(shè)置為true。 Access-Control-Allow-Headers 允許服務(wù)端訪問(wèn)的客戶端請(qǐng)求頭 Access-Control-Allow-Methods 允許訪問(wèn)的HTTP請(qǐng)求方法 Access-Control-Max-Age 用來(lái)指定預(yù)檢請(qǐng)求的有效期(秒)，在有效期內(nèi)不在發(fā)送預(yù)檢請(qǐng)求直接請(qǐng)求。

Cors詳細(xì)介紹請(qǐng)看阮一峰的跨域資源共享 CORS 詳解

(二) 服務(wù)端配置CORS(Spring boot)

1、直接寫(xiě)個(gè)filter攔截所有請(qǐng)求在response頭里加上面的字段.

2、繼承WebMvcConfigurerAdapter重寫(xiě)addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedHeaders('*') .allowedMethods('*') .allowedOrigins('*'); }}

自定義Filter,注冊(cè)

@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin('*'); config.setAllowCredentials(true); config.addAllowedHeader('*'); config.addAllowedMethod('*'); source.registerCorsConfiguration('/**', config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0);//配置CorsFilter優(yōu)先級(jí) return bean; }

@CrossOrigin注解

@CrossOrigin(origins = '*',allowCredentials = 'true',allowedHeaders = '*',methods = RequestMethod.GET,maxAge = 3600)(三) 出現(xiàn)的問(wèn)題

即使配置了響應(yīng)頭字段，還是不能跨域訪問(wèn)，經(jīng)過(guò)反復(fù)測(cè)試發(fā)現(xiàn)，GET請(qǐng)求可以訪問(wèn)，PUT請(qǐng)求無(wú)法訪問(wèn)，突然想起:非簡(jiǎn)單請(qǐng)求會(huì)發(fā)起一個(gè)OPTIONS方法的預(yù)檢請(qǐng)求，而我用了Spring Security攔截了所有請(qǐng)求，只開(kāi)放部分請(qǐng)求，所以需要在Spring Security中設(shè)置不攔截OPTIONS方法的請(qǐng)求。

解決方法

配置Spring Security,設(shè)置不攔截OPTIONS請(qǐng)求

HttpSecurity#authorizeRequests() .antMatchers(HttpMethod.OPTIONS) .permitAll()

配置CorsFilter優(yōu)先級(jí)，優(yōu)于Spring Security配置即可！

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持好吧啦網(wǎng)。