Springboot 403

了解CORS: 跨域资源共享 CORS 详解 - 阮一峰

# 1.项目未添加Security依赖

前端地址: http://localhost:9528 后端地址: http://localhost:8889

  • 前端调用接口 localhost:8888/user/login
  • 对于非简单请求,浏览器首先会发起一个OPTIONS预检请求,询问服务器,当前网页所在的域名是否在服务器的许可名单之中,以及可以使用哪些HTTP动词和头信息字段。只有得到肯定答复,浏览器才会发出正式的XMLHttpRequest请求,否则就报错。
  • 控制台:

出现了跨域情况

# 解决方案 1

在filter中添加白名单,完整filter代码⤵️

package com.futao.springmvcdemo.foundation;

import org.apache.commons.lang3.StringUtils;
import org.springframework.http.MediaType;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;

/**
 * @author futao
 * Created on 2018/9/19-15:47.
 */
@WebFilter(filterName = "AppFilter", urlPatterns = "/*")
public class AppFilter implements Filter {

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws ServletException, IOException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;

        request.setCharacterEncoding("UTF-8");
        response.setCharacterEncoding("UTF-8");
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);

        ArrayList<String> allowOrigins = (ArrayList<String>) req.getServletContext().getAttribute("allowOrigins");
        String origin = request.getHeader("Origin");
        if (allowOrigins.contains(origin)) {
            response.setHeader("Access-Control-Allow-Origin", origin);
        }
        // Access-Control-Max-Age
        response.setHeader("Access-Control-Max-Age", "3600");
        // Access-Control-Allow-Credentials
        response.setHeader("Access-Control-Allow-Credentials", "true");
        // Access-Control-Allow-Methods
        response.setHeader("Access-Control-Allow-Methods", "PUT,POST, GET, OPTIONS, DELETE");

        response.setHeader("Access-Control-Allow-Headers", "Content-Type");

        chain.doFilter(req, resp);
    }

    @Override
    public void init(FilterConfig config) throws ServletException {
        //白名单
        ArrayList<String> allowOrigins = new ArrayList<>();
        allowOrigins.add("http://localhost:63343");
        allowOrigins.add("http://localhost:9528");
        config.getServletContext().setAttribute("allowOrigins", allowOrigins);
    }
}
  • 再次发起请求

OK了

  • 随后浏览器会自动发起原请求

# 解决方案 2

  • 新建CorsConfiguration配置类,自己百度

# 2.项目添加了Security依赖

需要额外添加如下配置

package com.futao.springmvcdemo.foundation;


import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author futao
 * Created on 2018/11/6.
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers("/resources/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .httpBasic();

    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
                .ignoring()
                .antMatchers(HttpMethod.OPTIONS, "/**");
    }
}

如果同时进行了filter和CorsConfiguration的配置,OPTIONS请求会返回403,并且控制台提示 Itdoesnothave HTTP ok status.非常恶心。 网上没有找到相应的解释。

疑问:OPTIONS请求到达服务器后是谁做出的响应

本文分享自微信公众号 - 喜欢天文(AllUnderControl),作者:UnderControl

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-11-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 基于注解的用户权限拦截Spring HandlerInterceptor

    4.1 测试未登录情况下调用标记了 @LoginUser的获取当前登陆用户信息接口

    喜欢天文的pony站长
  • SpringBoot 2.x Redis缓存乱码问题/自定义SpringBoot-Cache序列化方式

    喜欢天文的pony站长
  • 【BIO】通过指定消息大小实现的多人聊天室-终极版本

    喜欢天文的pony站长
  • 藏在短链接下的挖矿木马:NovelMiner

    使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的...

    FB客服
  • Android实现自动填充短信验证码

    本文实例为大家分享了Android自动填充短信验证码的具体代码,供大家参考,具体内容如下

    砸漏
  • Python相对、绝对导入浅析

    这篇文章从另外一个不同的视角来分析一下Python的import机制,主要的目的是为了搞懂import中absolute、relative import遇到的几...

    庞小明
  • Qt镜像源

    Qt君
  • Java获取电脑真实的IP地址(排除虚拟机等干扰)

    参考资料:https://blog.csdn.net/yinshuomail/article/details/81624648

    乐心湖
  • 新手学HighCharts(二)----对比柱状图的动态加载

    上一篇文章 新手学HighCharts(一)—-基本使用 中介绍了highCharts的基本使用,今天给大家介绍对比柱状图的使用,贴张图先:

    令仔很忙
  • 解密Dubbo:自己动手编写一个较为完善的RPC框架(两万字干货)

    现在很多企业都在使用Dubbo或者Spring Cloud做企业的微服务架构,其实对于Dubbo最核心的技术就是RPC调用,现在我们就来动手自己编写一个RPC框...

    java进阶架构师

扫码关注云+社区

领取腾讯云代金券