it-swarm.dev

Filtr Spring Boot CORS - kanał wstępnej inspekcji CORS nie powiódł się

Muszę dodać filtr CORS do mojej aplikacji internetowej Spring Boot.

Dodałem mapowania CORS w sposób opisany w następującej dokumentacji http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html

To jest moja konfiguracja:

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // @formatter:off   
        registry
            .addMapping("/**")
            .allowedOrigins(CrossOrigin.DEFAULT_ORIGINS)
            .allowedHeaders(CrossOrigin.DEFAULT_ALLOWED_HEADERS)
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .maxAge(3600L);
        // @formatter:on
    }

...

}

Teraz, gdy próbuję uzyskać dostęp do mojego interfejsu API, otrzymuję następujący błąd:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/api/v1.0/user. (Reason: CORS preflight channel did not succeed).

To jest zrzut ekranu z konsoli FF:

 enter image description here

Co robię źle i jak prawidłowo skonfigurować nagłówki CORS, aby uniknąć tego problemu? 

19
alexanoid

Rozwiązałem ten problem, tworząc nowy filtr CORS:

@Component
public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else { 
            filterChain.doFilter(request, response);
        }
    }
}

i dodał ją do konfiguracji zabezpieczającej:

.addFilterBefore(new CorsFilter(), ChannelProcessingFilter.class)

ZAKTUALIZOWANY - Bardziej nowoczesny sposób, w który dziś przełączyłem się na:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            .cors()
        .and()

        ...
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"));
        configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token"));
        configuration.setExposedHeaders(Arrays.asList("x-auth-token"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

}
39
alexanoid

Gdyby ten sam problem wymagał, aby CORS pracował z wiosennym odpoczynkiem danych, był to kod filtra, którego użyłem.

    /**
 * Until url{https://jira.spring.io/browse/DATAREST-573} is fixed
 * 
 * @return
 */
@Bean
public CorsFilter corsFilter() {

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    //config.setAllowCredentials(true); // you USUALLY want this
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}
6
Romell

Na ile warto, następujące rozwiązanie kombinowane działało dla mnie:

1.

@Configuration
public class CorsConfiguration {

//This can be used in combination with @CrossOrigin on the controller & method.

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedMethods("HEAD","OPTIONS")
                        .allowedHeaders("Origin", "X-Requested-With", "Content-Type", "Accept");
            }
        };
    }
}

2. @CrossOrigin w klasie RestController. Posiadanie @CrossOrigin czyta adnotacje @RequestMapping i zawarte w nim metody HTTP. Reszta żądań jest odrzucana z błędem CORS.

Ale z powyższego rozwiązania nie będziesz miał szczęścia, jeśli chcesz wykorzystać wiosenne zabezpieczenia w swoim projekcie.

Używam wersji 1.5.4.RELEASE z bootem sprężynowym.

2
Vijay Kalidindi

Obecnie zalecanym sposobem wykonywania CORS jest 

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);

        // Add more mappings...
    }
}

Jest to oparte na https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc-cors

Ale musisz także upewnić się, że CORS jest włączony i CSRF jest wyłączony w pliku WebSecurityConfig.

Kiedyś miałem problem, w którym wszystkie moje metody POST nie działają (zwracając 403 zabronione), podczas gdy metody GET działają dobrze, ale jest to rozwiązane po wyłączeniu CSRF

0
Bamtak

Właściwa obsługa żądania OPCJE przed lotem jest konieczna, ale NIE WYSTARCZAJĄCA dla żądań zasobów między zakładami do pracy.

Po powrocie żądania OPTIONS z zadowalającymi nagłówkami, wszystkie odpowiedzi na kolejne żądania do tego samego adresu URL muszą także mieć konieczny nagłówek „Access-Control-Allow-Origin”, w przeciwnym razie przeglądarka połyka je, a nawet nie pojawi się w oknie debuggera. https://stackoverflow.com/a/11951532/5649869

To dla mnie praca

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedMethods("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS");
    }
}
0
hang gao

jeśli użycie spring-boot 2 poniżej wystarczy, aby rozwiązać problem cors i problem z inspekcją wstępną

@Override
    public void configure(WebSecurity web) throws Exception {
//      web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
        web.ignoring().antMatchers("/resources/**", "/index.html", "/login.html", "/partials/**", "/template/**", "/",
                "/error/**", "/h2-console", "*/h2-console/*");
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration config = new CorsConfiguration();
        config.applyPermitDefaultValues();
        config.setAllowCredentials(true);// this line is important it sends only specified domain instead of *
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return source;
    }
0
Niranjan Panigrahi