Spring Boot CORSフィルター-CORSプリフライトチャネルは成功しませんでした

Question

Spring Boot WebアプリケーションにCORSフィルターを追加する必要があります。

次のドキュメントに記載されているように、CORSマッピングを追加しました http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html

これは私の設定です：

@Configuration @EnableWebMvc public class WebMvcConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { // @formatter:off registry .addMapping("/**") .allowedOrigins(CrossOrigin.DEFAULT_ORIGINS) .allowedHeaders(CrossOrigin.DEFAULT_ALLOWED_HEADERS) .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") .maxAge(3600L); // @formatter:on } ... }

現在、APIにアクセスしようとすると、次のエラーが表示されます。

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/api/v1.0/user. (Reason: CORS preflight channel did not succeed).

これは、FFコンソールのスクリーンショットです。

この問題を回避するために、私は何を間違っていますか、CORSヘッダーを適切に構成する方法は？

alexanoid · Accepted Answer

新しいCORSフィルターを作成して、この問題を修正しました。

@Component public class CorsFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { response.setHeader("Access-Control-Allow-Origin", "*"); response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token"); response.addHeader("Access-Control-Expose-Headers", "xsrf-token"); if ("OPTIONS".equals(request.getMethod())) { response.setStatus(HttpServletResponse.SC_OK); } else { filterChain.doFilter(request, response); } } }

セキュリティ設定に追加しました：

.addFilterBefore(new CorsFilter(), ChannelProcessingFilter.class)

更新-最近切り替えた最近の方法：

@Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() ... } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS")); configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token")); configuration.setExposedHeaders(Arrays.asList("x-auth-token")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } }

Romell · Answer

CORSをスプリングデータレストで動作させるのと同じ問題があった場合、これは私が使用したフィルターコードでした。

 /** * Until url{https://jira.spring.io/browse/DATAREST-573} is fixed * * @return */ @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); //config.setAllowCredentials(true); // you USUALLY want this config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("OPTIONS"); config.addAllowedMethod("HEAD"); config.addAllowedMethod("GET"); config.addAllowedMethod("PUT"); config.addAllowedMethod("POST"); config.addAllowedMethod("DELETE"); config.addAllowedMethod("PATCH"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); }

Vijay Kalidindi · Answer

その価値のために、次の組み合わせソリューションは私のために働いた：

1。

@Configuration public class CorsConfiguration { //This can be used in combination with @CrossOrigin on the controller & method. @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurerAdapter() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedMethods("HEAD","OPTIONS") .allowedHeaders("Origin", "X-Requested-With", "Content-Type", "Accept"); } }; } }

2. RestControllerクラスの@CrossOrigin。 @CrossOriginを使用すると、@RequestMappingアノテーションとその中のHTTPメソッドを読み取ります。残りのリクエストはCORSエラーで拒否されます。

ただし、プロジェクトでスプリングセキュリティを使用する場合は、上記のソリューションではうまくいかないでしょう。

Spring Bootバージョン1.5.4.RELEASEを使用しています。

Bamtak · Answer

現在のCORSの推奨される方法は

@Configuration @EnableWebMvc public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") .allowedOrigins("http://domain2.com") .allowedMethods("PUT", "DELETE") .allowedHeaders("header1", "header2", "header3") .exposedHeaders("header1", "header2") .allowCredentials(true).maxAge(3600); // Add more mappings... } }

これは https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc-cors に基づいています

ただし、WebSecurityConfigファイルでCORSを有効にし、CSRFを無効にすることも確認する必要があります。

GETメソッドが正常に機能する一方で、すべてのPOSTメソッドが機能しない（403 forbidenを返す）という問題がありましたが、CSRFが無効になった後に解決されます

Алексей Романов · Answer

プリフライトOPTIONSリクエストを適切に処理する必要がありますが、クロスサイトリソースリクエストが機能するには不十分です。

OPTIONSリクエストに十分なヘッダーが返された後、同じURLへの後続のリクエストに対するすべての応答には、必要な「Access-Control-Allow-Origin」ヘッダーも必要です。そうしないと、ブラウザーはそれらを飲み込み、デバッガーウィンドウに表示されます。 https://stackoverflow.com/a/11951532/5649869

hang gao · Answer

それは私の仕事です

@Configuration public class CorsConfig implements WebMvcConfigurer { public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedMethods("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"); } }

Niranjan Panigrahi · Answer

corsの問題とプリフライトの問題を解決するには、コードの下のspring-boot 2を使用するだけで十分な場合

@Override public void configure(WebSecurity web) throws Exception { // web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); web.ignoring().antMatchers("/resources/**", "/index.html", "/login.html", "/partials/**", "/template/**", "/", "/error/**", "/h2-console", "*/h2-console/*"); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration config = new CorsConfiguration(); config.applyPermitDefaultValues(); config.setAllowCredentials(true);// this line is important it sends only specified domain instead of * UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", config); return source; }