it-swarm.com.de

Spring Boot CORS-Filter - CORS-Preflight-Kanal war nicht erfolgreich

Ich muss der Spring Boot-Webanwendung einen CORS-Filter hinzufügen.

Ich habe CORS-Zuordnungen hinzugefügt, wie in der folgenden Dokumentation beschrieben http://docs.spring.io/spring/docs/current/spring-framework-reference/html/cors.html

Das ist meine Konfig:

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // @formatter:off   
        registry
            .addMapping("/**")
            .allowedOrigins(CrossOrigin.DEFAULT_ORIGINS)
            .allowedHeaders(CrossOrigin.DEFAULT_ALLOWED_HEADERS)
            .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
            .maxAge(3600L);
        // @formatter:on
    }

...

}

Beim Versuch, auf meine API zuzugreifen, wird folgende Fehlermeldung angezeigt:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://example.com/api/v1.0/user. (Reason: CORS preflight channel did not succeed).

Dies ist ein Screenshot von der FF-Konsole:

 enter image description here

Was mache ich falsch und wie man CORS-Header richtig konfiguriert, um dieses Problem zu vermeiden? 

19
alexanoid

Ich habe dieses Problem behoben, indem ich einen neuen CORS-Filter erstellt habe:

@Component
public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else { 
            filterChain.doFilter(request, response);
        }
    }
}

und fügte es der Konfiguration von securty hinzu:

.addFilterBefore(new CorsFilter(), ChannelProcessingFilter.class)

AKTUALISIERT - Modernere Art und Weise, auf die ich gewechselt habe:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            .cors()
        .and()

        ...
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("*"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"));
        configuration.setAllowedHeaders(Arrays.asList("authorization", "content-type", "x-auth-token"));
        configuration.setExposedHeaders(Arrays.asList("x-auth-token"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

}
39
alexanoid

Hatte das gleiche Problem, dass CORS mit Federdaten arbeitet, dies war der von mir verwendete Filtercode.

    /**
 * Until url{https://jira.spring.io/browse/DATAREST-573} is fixed
 * 
 * @return
 */
@Bean
public CorsFilter corsFilter() {

    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    //config.setAllowCredentials(true); // you USUALLY want this
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}
6
Romell

Die folgende Kombinationslösung hat sich für mich bewährt:

1.

@Configuration
public class CorsConfiguration {

//This can be used in combination with @CrossOrigin on the controller & method.

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedMethods("HEAD","OPTIONS")
                        .allowedHeaders("Origin", "X-Requested-With", "Content-Type", "Accept");
            }
        };
    }
}

2. @CrossOrigin in der RestController-Klasse. Nachdem @CrossOrigin die @RequestMapping-Anmerkungen und die darin enthaltenen HTTP-Methoden gelesen hat. Die restlichen Anforderungen werden mit einem CORS-Fehler zurückgewiesen.

Mit der obigen Lösung haben Sie jedoch kein Glück, wenn Sie in Ihrem Projekt Federsicherheit einsetzen möchten.

Ich benutze Spring Boot Version 1.5.4.RELEASE.

2
Vijay Kalidindi

Die derzeit empfohlene Vorgehensweise für CORS ist 

@Configuration
@EnableWebMvc
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {

        registry.addMapping("/api/**")
            .allowedOrigins("http://domain2.com")
            .allowedMethods("PUT", "DELETE")
            .allowedHeaders("header1", "header2", "header3")
            .exposedHeaders("header1", "header2")
            .allowCredentials(true).maxAge(3600);

        // Add more mappings...
    }
}

Dies ist Basis auf https://docs.spring.io/spring/docs/current/spring-framework-reference/web.html#mvc-cors

Sie müssen jedoch auch sicherstellen, dass CORS aktiviert und CSRF in Ihrer WebSecurityConfig-Datei deaktiviert ist.

Ich hatte einmal ein Problem, bei dem alle POST - Methoden nicht funktionieren (403 verbieten), während GET-Methoden einwandfrei funktionieren. Dies ist jedoch nach der Deaktivierung von CSRF behoben

0
Bamtak

Die ordnungsgemäße Behandlung der OPTIONS-Anforderung vor dem Flug ist erforderlich, jedoch NICHT ERLAUBEND, damit standortübergreifende Ressourcenanforderungen funktionieren.

Nachdem die OPTIONS-Anfrage zufriedenstellende Header erhalten hat, müssen alle Antworten auf nachfolgende Anfragen an dieselbe URL auch den erforderlichen "Access-Control-Allow-Origin" -Header haben, andernfalls werden sie vom Browser verschluckt und nicht einmal im Debugger-Fenster anzeigen. https://stackoverflow.com/a/11951532/5649869

Es ist Arbeit für mich

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedMethods("GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS");
    }
}
0
hang gao

wenn Sie Spring-Boot 2 verwenden, reicht der folgende Code aus, um das Problem mit dem Kors und das Preflight zu lösen

@Override
    public void configure(WebSecurity web) throws Exception {
//      web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");
        web.ignoring().antMatchers("/resources/**", "/index.html", "/login.html", "/partials/**", "/template/**", "/",
                "/error/**", "/h2-console", "*/h2-console/*");
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration config = new CorsConfiguration();
        config.applyPermitDefaultValues();
        config.setAllowCredentials(true);// this line is important it sends only specified domain instead of *
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        return source;
    }
0