Spring Security跨域问题
2019-10-20 本文已影响0人
十年磨剑的简书
在开发的时候, 由于前端的vue占用了8080端口, 后端只好改用8888端口, 但这样一来, 前端向后端传值的时候就会报403错误, 简单的说就是端口不同时不能直接拿到数据.
之前遇到这个问题时, 直接采用nginx的方式, 将8888端口映射到8080端口上, 相当于用虚拟端口的方式把两个域联起来, 这种方式配置起来比较简单, 但开发时本来已经需要打开navicat/redis/idea/vscode/chrome等多个窗口, 又没有多显示器, 实在不想再多开一个nginx, 于是想到用后端cors的方式直接解决这个问题.
在配置security时发现没有httpSecurity.cors()这个方法, 写好CorsFilter后也不能添加到httpSecurity.addFliterBefore()中, 怀疑是security版本问题, 或者是存在某种未知bug, 想了半天, 决定直接在web.xml中添加一个filter:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>com.share.handler.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
根据SpringMVC的加载顺序, 只要这个filter在security之前配置就会先启动, 这与addFliterBefore()方法没有本质区别, 启动后可以支持跨域操作. 另附CorsFilter的实现:
public class CorsFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
response.setHeader("Access-Control-Allow-Origin", "*");//* or origin as u prefer
response.setHeader("Access-Control-Allow-Credentials", "true");
response.setHeader("Access-Control-Allow-Methods", "PUT, POST, GET, OPTIONS, DELETE");
response.setHeader("Access-Control-Max-Age", "3600");
// response.setHeader("Access-Control-Allow-Headers", "content-type, authorization");
response.setHeader("Access-Control-Allow-Headers", "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, Content-Type, X-E4M-With, Authorization");
response.setHeader("XDomainRequestAllowed","1");
//使前端能够获取到
response.setHeader("Access-Control-Expose-Headers","download-status,download-filename,download-message");
if (request.getMethod().equals("OPTIONS"))
// response.setStatus(HttpServletResponse.SC_OK);
response.setStatus(HttpServletResponse.SC_NO_CONTENT);
else
filterChain.doFilter(request, response);
}
}
实际上就是按CORS标准实现各请求头而已, 不是太难.
