在已設(shè)置CORS的項目中加入Spring Security，導(dǎo)致跨域訪問失敗，一開始以為是設(shè)置錯CORS的問題，后來才發(fā)現(xiàn)是因為Spring Security的攔截沖突引起的。

(一) CORS介紹

CORS是一個W3C標(biāo)準(zhǔn)，全稱是”跨域資源共享”（Cross-origin resource sharing）。

它允許瀏覽器向跨源服務(wù)器，發(fā)出XMLHttpRequest請求，從而克服了AJAX只能同源使用的限制。

response響應(yīng)頭響應(yīng)頭字段名稱 作用 Access-Control-Allow-Origin 允許訪問的客戶端的域名 Access-Control-Allow-Credentials 是否允許請求帶有驗證信息，若要獲取客戶端域下的cookie時，需要將其設(shè)置為true。 Access-Control-Allow-Headers 允許服務(wù)端訪問的客戶端請求頭 Access-Control-Allow-Methods 允許訪問的HTTP請求方法 Access-Control-Max-Age 用來指定預(yù)檢請求的有效期(秒)，在有效期內(nèi)不在發(fā)送預(yù)檢請求直接請求。

Cors詳細(xì)介紹請看阮一峰的跨域資源共享 CORS 詳解

(二) 服務(wù)端配置CORS(Spring boot)

1、直接寫個filter攔截所有請求在response頭里加上面的字段.

2、繼承WebMvcConfigurerAdapter重寫addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping('/**') .allowedHeaders('*') .allowedMethods('*') .allowedOrigins('*'); }}

自定義Filter,注冊

@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.addAllowedOrigin('*'); config.setAllowCredentials(true); config.addAllowedHeader('*'); config.addAllowedMethod('*'); source.registerCorsConfiguration('/**', config); FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source)); bean.setOrder(0);//配置CorsFilter優(yōu)先級 return bean; }

@CrossOrigin注解

@CrossOrigin(origins = '*',allowCredentials = 'true',allowedHeaders = '*',methods = RequestMethod.GET,maxAge = 3600)(三) 出現(xiàn)的問題

即使配置了響應(yīng)頭字段，還是不能跨域訪問，經(jīng)過反復(fù)測試發(fā)現(xiàn)，GET請求可以訪問，PUT請求無法訪問，突然想起:非簡單請求會發(fā)起一個OPTIONS方法的預(yù)檢請求，而我用了Spring Security攔截了所有請求，只開放部分請求，所以需要在Spring Security中設(shè)置不攔截OPTIONS方法的請求。

解決方法

配置Spring Security,設(shè)置不攔截OPTIONS請求

HttpSecurity#authorizeRequests() .antMatchers(HttpMethod.OPTIONS) .permitAll()

配置CorsFilter優(yōu)先級，優(yōu)于Spring Security配置即可！

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持好吧啦網(wǎng)。