本站内所有文档均为中英对照文档,点击中文可以显示英文。此提醒连续关闭5次后,将不再显示。
CORS
Spring Framework 提供了 对 CORS 的一流支持。CORS 必须在 Spring Security 之前处理,因为预检请求不会包含任何 cookie(例如 JSESSIONID)。如果请求不包含任何 cookie 且 Spring Security 先执行,该请求将被判定为用户未认证(因为请求中没有 cookie)并予以拒绝。
确保CORS优先处理的最简单方法是使用 CorsWebFilter。用户可以通过提供 CorsConfigurationSource 将 CorsWebFilter 与 Spring Security 集成。例如,以下代码将在 Spring Security 中集成 CORS 支持:
- Java
- Kotlin
@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}
以下将禁用 Spring Security 中的 CORS 集成:
- Java
- Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.cors((cors) -> cors.disable());
return http.build();
}
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
cors {
disable()
}
}
}
注意
CORS 是一种基于浏览器的安全特性。在 Spring Security 中禁用 CORS 并不会从你的浏览器中移除 CORS 保护。相反,你是在移除 Spring Security 中的 CORS 支持,用户将无法从跨域的浏览器应用程序与你的 Spring 后端进行交互。要修复应用程序中的 CORS 错误,你必须启用 CORS 支持,并提供适当的配置源。