Java-Spring Boot：访问控制-允许来源不起作用

Question

我尝试使用少量教程和this link在春季启动中实现Access-Control- Allow-Origin，但是无法实现。

要实现此目的，我在application.properties文件中添加了以下行

endpoints.cors.allowed-origins=https://example.com

这可能意味着，除了URL https://example.com之外，没有其他端点可以调用任何API。但是它不起作用，我仍然可以在下图中看到*的响应。我的API可以访问来自其他域的哪些菜单。那么如何预防呢？

Answer 1

对于Spring Boot 1来说，endpoints.cors.allowed-origins或对于Spring Boot 2来说，management.endpoints.web.cors.allowed-origins是用来将CORS应用于执行器端点的，不适用于您定义的控制器端点。

实际上，默认情况下，Spring boot不会设置任何CORS标头。如果看到Access-Control-Allow-Origin带有值（例如通配符），则表示您正在自己的代码中的某个位置进行配置。验证您是在控制器上使用@CrossOrigin，还是正在使用某种Filter（例如CorsFilter）。

在Spring启动中全局配置CORS的一种方法是定义一个CorsFilter bean，例如：

@Bean
public CorsFilter corsFilter() {
    final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.setAllowedOrigins(List.of("https://example.com"));
    config.setAllowedHeaders(List.of("Origin", "Content-Type", "Accept"));
    config.setAllowedMethods(List.of("GET", "POST", "PUT", "OPTIONS", "DELETE", "PATCH"));
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

对于其他可能性，您可以检查this question。请注意，只有在找出导致设置Access-Control-Allow-Origin的原因后，此方法才能正常工作。

Answer 2

在您的控制器中尝试此批注@Crossorigin（“ *”）。您可以根据需要更改批注中的参数

Answer 3

您可以像这样为您的项目定义自定义cors过滤器

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

@Component
public class CustomeCORSFilter implements Filter {

private final Logger log = LoggerFactory.getLogger(CustomeCORSFilter.class);

public CustomeCORSFilter() {
    log.info("CustomeCORSFilter init");
}

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;


    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS,PUT, DELETE");
  response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
    response.setHeader("Access-Control-Max-Age", "");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With,");

    chain.doFilter(request, response);
}

@Override
public void init(FilterConfig filterConfig) {
}

@Override
public void destroy() {
}

}

Answer 4

最后，我通过在 Application 类中添加以下内容解决了这个问题。

@Bean
public WebMvcConfigurer corsConfigurer() {

    return new WebMvcConfigurer() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/**")
                    .allowedOrigins("https://example.com",
                            "https://www.example.com",
                            "http://192.168.1.12:3000",
                            "http://localhost:3000");
        }
    };
}

因此最终的 Application 类将类似于此

@SpringBootApplication
@EnableScheduling
@EnableAsync
public class ExampleApplication {

public static void main(String[] args) {
    SpringApplication.run(ExampleApplication.class, args);
}

@Bean
public WebMvcConfigurer corsConfigurer() {

    return new WebMvcConfigurer() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/**")
                    .allowedOrigins("https://example.com",
                            "https://www.example.com",
                            "http://192.168.1.12:3000",
                            "http://localhost:3000");
        }
    };
   }
}