CORS

Spring Framework 为 CORS 提供了第一类支持。CORS 必须在 Spring Security 之前处理,因为预检请求将不包含任何 cookie (例如 JSESSIONID)。如果请求不包含任何 cookie 且 Spring Security 先处理,请求将判断用户未认证(因为请求中没有 cookie)并拒绝该请求。

确保 CORS 首先处理的最简单方法是使用 CorsWebFilter。用户可以通过提供 CorsConfigurationSource 来将 CorsWebFilter 与 Spring Security 集成。例如,以下配置将在 Spring Security 中集成 CORS 支持:

  • Java

  • Kotlin

@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
	CorsConfiguration configuration = new CorsConfiguration();
	configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
	configuration.setAllowedMethods(Arrays.asList("GET","POST"));
	UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
	source.registerCorsConfiguration("/**", configuration);
	return source;
}
@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
    val configuration = CorsConfiguration()
    configuration.allowedOrigins = listOf("https://example.com")
    configuration.allowedMethods = listOf("GET", "POST")
    val source = UrlBasedCorsConfigurationSource()
    source.registerCorsConfiguration("/**", configuration)
    return source
}

以下配置将禁用 Spring Security 中的 CORS 集成:

  • Java

  • Kotlin

@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
	http
		// ...
		.cors((cors) -> cors.disable());
	return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
    return http {
        // ...
        cors {
            disable()
        }
    }
}

CORS 是一种基于浏览器的安全功能。通过禁用 Spring Security 中的 CORS,您并没有从浏览器中移除 CORS 保护。相反,您只是从 Spring Security 中移除了 CORS 支持,用户将无法从跨源浏览器应用程序与您的 Spring 后端进行交互。要修复应用程序中的 CORS 错误,您必须启用 CORS 支持,并提供适当的配置源。
© . This site is unofficial and not affiliated with VMware.