首页 >Java >java教程 >为什么我的 Spring Security CORS 过滤器未添加'Access-Control-Allow-Origin\”标头?

为什么我的 Spring Security CORS 过滤器未添加'Access-Control-Allow-Origin\”标头?

Linda Hamilton
Linda Hamilton原创
2024-11-03 13:26:30396浏览

  Why is My Spring Security CORS Filter Not Adding the 'Access-Control-Allow-Origin' Header?

Spring Security CORS 过滤器:排除 401 错误

尽管在现有项目中实现了 Spring Security,但您仍然会遇到 401“No '来自您的服务器的 Access-Control-Allow-Origin' header”错误。出现这种情况是因为响应中没有附加此类标头。

为了解决此问题,您尝试在注销过滤器之前将自定义过滤器添加到过滤器链中。但是,该过滤器似乎不适用于您的请求。让我们检查一下您现有的配置和潜在问题:

安全配置:

安全配置正在使用 CORS 配置,该配置已正确配置。但是,需要注意的是,控制器中的 @CrossOrigin 注解可能与此配置冲突,从而导致不可预测的行为。

过滤器实现:

您的过滤器似乎正确配置为 OncePerRequestFilter。它定义了过滤器操作的必要方法,包括向响应添加 CORS 标头。

过滤器注册:

您的过滤器正在通过 Spring Boot 注册,已确认通过日志条目。过滤器映射到“/*”,并且其在过滤器链中的位置合适。

生成的过滤器链:

生成的过滤器链输出表明您的 CORS列表中缺少过滤器。这可以解释为什么它没有生效。

响应标头:

您尚未提供从服务器收到的完整响应标头。检查这些标头可以深入了解响应中存在的实际 CORS 标头。

编辑 1:

尝试了 @Piotr Sołtysiak 建议的解决方案,但它也未能解决问题。生成的过滤器链中缺少 CORS 过滤器,并且 401 错误仍然存​​在。

解决方案:

在 Spring Security 4.1 及更高版本中,实现 CORS 支持已更改。首选方法是使用以下配置:

  • 创建一个扩展 WebMvcConfigurerAdapter 的 WebConfig 类并实现 addCorsMappings 方法来定义允许的来源、方法和标头:
<code class="java">@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH");
    }
}</code>
  • 在您的 SecurityConfig 类中,启用 CORS 并定义自定义 CorsConfigurationSource:
<code class="java">@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        // ... (Define the CORS configuration and return a UrlBasedCorsConfigurationSource)
    }
}</code>

避免使用以下不正确的方法:

  • http.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll();
  • web.ignoring().antMatchers(HttpMethod.OPTIONS);

这些方法已被弃用,并且提供不完整的 CORS 实现。

以上是为什么我的 Spring Security CORS 过滤器未添加'Access-Control-Allow-Origin”标头?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn