CORS(跨域资源共享)
Spring Framework 提供了一流的 CORS 支持。
CORS 必须在 Spring Security 之前进行处理,因为预检请求不会包含任何 Cookie(例如 JSESSIONID)。
如果请求中不包含任何 Cookie,并且 Spring Security 先执行,那么该请求会被判定为用户未认证(因为请求中没有 Cookie),从而被拒绝。
确保CORS首先处理的最简单方法是使用CorsWebFilter。
用户可以通过提供CorsWebFilter将CorsConfigurationSource与Spring Security集成。
例如,以下代码将在Spring Security中集成CORS支持:
-
Java
-
Kotlin
@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}以下将禁用Spring Security中的CORS集成:
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.cors((cors) -> cors.disable());
return http.build();
}@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
cors {
disable()
}
}
}|
CORS 是一种基于浏览器的安全功能。 通过在 Spring Security 中禁用 CORS,您并没有移除浏览器的 CORS 保护。 相反,您是从 Spring Security 中移除了 CORS 支持,并且用户将无法从跨域浏览器应用与您的 Spring 后端进行交互。 要修复应用程序中的 CORS 错误,您必须启用 CORS 支持,并提供适当的配置来源。 |