CORS
Spring Framework 為 CORS 提供了第一類支援。CORS 必須在 Spring Security 之前處理,因為預檢請求將不包含任何 cookie (例如 JSESSIONID)。如果請求不包含任何 cookie 且 Spring Security 先處理,請求將判斷使用者未認證(因為請求中沒有 cookie)並拒絕該請求。
確保 CORS 首先處理的最簡單方法是使用 CorsWebFilter。使用者可以透過提供 CorsConfigurationSource 來將 CorsWebFilter 與 Spring Security 整合。例如,以下配置將在 Spring Security 中整合 CORS 支援:
-
Java
-
Kotlin
@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}以下配置將停用 Spring Security 中的 CORS 整合:
-
Java
-
Kotlin
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.cors((cors) -> cors.disable());
return http.build();
}@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
cors {
disable()
}
}
}|
CORS 是一種基於瀏覽器的安全功能。透過停用 Spring Security 中的 CORS,您並沒有從瀏覽器中移除 CORS 保護。相反,您只是從 Spring Security 中移除了 CORS 支援,使用者將無法從跨源瀏覽器應用程式與您的 Spring 後端進行互動。要修復應用程式中的 CORS 錯誤,您必須啟用 CORS 支援,並提供適當的配置源。 |
