为什么我的 Spring Security CORS 过滤器未添加“Access-Control-Allow-Origin\”标头？

Spring Security CORS 过滤器：排除 401 错误

尽管在现有项目中实现了 Spring Security，但您仍然会遇到 401“No '来自您的服务器的 Access-Control-Allow-Origin' header”错误。出现这种情况是因为响应中没有附加此类标头。

为了解决此问题，您尝试在注销过滤器之前将自定义过滤器添加到过滤器链中。但是，该过滤器似乎不适用于您的请求。让我们检查一下您现有的配置和潜在问题：

安全配置：

安全配置正在使用 CORS 配置，该配置已正确配置。但是，需要注意的是，控制器中的 @CrossOrigin 注解可能与此配置冲突，从而导致不可预测的行为。

过滤器实现：

您的过滤器似乎正确配置为 OncePerRequestFilter。它定义了过滤器操作的必要方法，包括向响应添加 CORS 标头。

过滤器注册：

您的过滤器正在通过 Spring Boot 注册，已确认通过日志条目。过滤器映射到“/*”，并且其在过滤器链中的位置合适。

生成的过滤器链：

生成的过滤器链输出表明您的 CORS列表中缺少过滤器。这可以解释为什么它没有生效。

响应标头：

您尚未提供从服务器收到的完整响应标头。检查这些标头可以深入了解响应中存在的实际 CORS 标头。

编辑 1：

尝试了 @Piotr Sołtysiak 建议的解决方案，但它也未能解决问题。生成的过滤器链中缺少 CORS 过滤器，并且 401 错误仍然存​​在。

解决方案：

在 Spring Security 4.1 及更高版本中，实现 CORS 支持已更改。首选方法是使用以下配置：

• 创建一个扩展 WebMvcConfigurerAdapter 的 WebConfig 类并实现 addCorsMappings 方法来定义允许的来源、方法和标头：

<code class="java">@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH");
    }
}</code>

• 在您的 SecurityConfig 类中，启用 CORS 并定义自定义 CorsConfigurationSource：

<code class="java">@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        // ... (Define the CORS configuration and return a UrlBasedCorsConfigurationSource)
    }
}</code>

避免使用以下不正确的方法：

• http.authorizeRequests().antMatchers(HttpMethod.OPTIONS, "/**").permitAll();
• web.ignoring().antMatchers(HttpMethod.OPTIONS);

这些方法已被弃用，并且提供不完整的 CORS 实现。

以上是为什么我的 Spring Security CORS 过滤器未添加“Access-Control-Allow-Origin\”标头？的详细内容。更多信息请关注PHP中文网其他相关文章！