SpringでCORSサポートを完全に無効にできますか？

Question

で説明されているように、OPTIONSおよびAccess-Control-Request-Methodヘッダーが設定されたOriginエンドポイントにリクエストを送信すると、CORSプリフライトリクエストは標準ヘッダーのため失敗しますその後、Springフレームワークによってインターセプトされ、メソッドは実行されません。受け入れられている解決策は、@CrossOriginアノテーションを使用してSpringが403を返すのを停止することです。ただし、 Swagger Codegen を使用してAPIコードを生成しているため、これを無効にして手動でOPTIONS応答を実装するだけです。

では、SpringでCORSインターセプトを無効にできますか？

d0x · Answer

ドキュメントから：

Spring Web MVCを使用している場合

@Configuration @EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH"); } }

Spring Bootを使用している場合：

@Configuration public class MyConfiguration { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH"); } }; } }

Yuriy Yunikovの答えも正しい。しかし、私は「カスタム」フィルターが好きではありません。

トラブルの原因となるSpring Web Securityがある場合。 this SO Answer。

Yuriy Yunikov · Answer

次のフィルターを追加してみてください（独自のニーズとサポートされるメソッドに合わせてカスタマイズできます）。

@Component public class CorsFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(final HttpServletRequest request, final HttpServletResponse response, final FilterChain filterChain) throws ServletException, IOException { response.addHeader("Access-Control-Allow-Origin", "*"); response.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, PATCH, HEAD"); response.addHeader("Access-Control-Allow-Headers", "Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers"); response.addHeader("Access-Control-Expose-Headers", "Access-Control-Allow-Origin, Access-Control-Allow-Credentials"); response.addHeader("Access-Control-Allow-Credentials", "true"); response.addIntHeader("Access-Control-Max-Age", 10); filterChain.doFilter(request, response); } }

Panthro · Answer

スプリングブートの新しいバージョンの場合：

@Configuration public class WebConfiguration implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedMethods("*"); } }

Kirill Ch · Answer

Spring BootアプリケーションでSpring Securityを使用し、特定のドメイン（またはすべてのドメイン）からのアクセスを有効にします。

私WebSecurityConfig：

@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { // add http.cors() http.cors().and().csrf().disable().authorizeRequests() .antMatchers("/get/**").permitAll() .antMatchers("/update/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .httpBasic(); // Authenticate users with HTTP basic authentication // REST is stateless http.sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); } // To enable CORS @Bean public CorsConfigurationSource corsConfigurationSource() { final CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(ImmutableList.of("https://www.yourdomain.com")); // www - obligatory // configuration.setAllowedOrigins(ImmutableList.of("*")); //set access from all domains configuration.setAllowedMethods(ImmutableList.of("GET", "POST", "PUT", "DELETE")); configuration.setAllowCredentials(true); configuration.setAllowedHeaders(ImmutableList.of("Authorization", "Cache-Control", "Content-Type")); final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } }

テストする前にブラウザの履歴をクリアする必要がある場合があります。

詳細な情報はこちらにあります： http://appsdeveloperblog.com/crossorigin-restful-web-service/

Angularを使用する場合のみ。 From Angularバックエンドへのリクエストを実行します：

export class HttpService { username = '..'; password = '..'; Host = environment.api; uriUpdateTank = '/update/tank'; headers: HttpHeaders = new HttpHeaders({ 'Content-Type': 'application/json', Authorization: 'Basic ' + btoa(this.username + ':' + this.password) }); constructor(private http: HttpClient) { } onInsertTank(tank: Tank) { return this.http.put(this.Host + this.uriUpdateTank, tank, { headers: this.headers }) .pipe( catchError(this.handleError) ); } ... }

旧バージョン。私のSpring Bootアプリケーションでは、これ以外の方法は機能しませんでした：

import org.springframework.core.Ordered; import org.springframework.core.annotation.Order; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class RequestFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Allow-Headers", "x-requested-with, x-auth-token"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Credentials", "true"); if (!(request.getMethod().equalsIgnoreCase("OPTIONS"))) { try { chain.doFilter(req, res); } catch (Exception ex) { ex.printStackTrace(); } } else { System.out.println("Pre-flight"); response.setHeader("Access-Control-Allowed-Methods", "POST, GET, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type,x-auth-token, " + "access-control-request-headers, access-control-request-method, accept, Origin, authorization, x-requested-with"); response.setStatus(HttpServletResponse.SC_OK); } } public void init(FilterConfig filterConfig) { } public void destroy() { } }