已被 CORS 策略阻止:对预检请求的响应未通过

【问题标题】:has been blocked by CORS policy: Response to preflight request doesn't pass已被 CORS 策略阻止:对预检请求的响应未通过
【发布时间】:2019-11-18 15:20:36
【问题描述】:

我使用 angular 和 springboot 创建了一个应用程序,用于使用 spring 安全性进行基本身份验证,但我收到 401 错误 ..我是 springboot 的新手

@Configuration
@EnableWebSecurity
public class SpringSecurityConfigurationBasicAuth extends WebSecurityConfigurerAdapter{ 

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers(HttpMethod.OPTIONS,"/**").permitAll()
                .anyRequest().authenticated()
                .and()
            //.formLogin().and()
            .httpBasic();
    }
}

“从源 'http://localhost:4200' 访问 XMLHttpRequest 在 'http://localhost:8080/hello-world/path-variable/MSD' 已被 CORS 策略阻止:对预检请求的响应未通过访问控制检查:它没有 HTTP ok 状态。”

【问题讨论】:

  • 我应该添加哪个插件??
  • 你不应该添加任何 chrome 插件。或者您的后端 API 确实应该在生产中从其他域/端口调用,并且您应该在后端 API 上添加 CORS 支持,或者不应该,因此您的开发环境应该通过提供服务来模仿生产环境来自同一主机/端口的后端和前端。您通常通过使用 Angular CLI 服务器作为后端 API 的代理来做到这一点。 github.com/angular/angular-cli/blob/master/docs/documentation/…
  • @Sachi.Dila 不建议在没有警告的情况下危及网络安全的解决方案。当您安装 cors 插件时,您允许任何站点访问任何其他站点,包括允许从attacker.example.com 访问 gmail.com。过去曾发生过这样的攻击,因为粗心的开发人员不明白为什么要实施某种保护
  • AFAIR 当您希望允许来自不同来源的经过身份验证的访问并且这些请求不会被您的浏览器停止时,您的后端必须明确地“允许”这些来源通过“Access-Control-Allow-”告诉浏览器Origin”标头列出了允许的来源。
  • @MONI SHANKAR 请尝试使用我的代码,我认为它可以解决您的问题。

标签: java spring spring-boot authentication angular7


【解决方案1】:

我也遇到了与 angulat7 和 spring boot 相同的问题,我通过添加以下配置解决了

 @Configuration
    public class SpringDataRestConfiguration extends RepositoryRestConfigurerAdapter {

        @Override
        public void configureRepositoryRestConfiguration(RepositoryRestConfiguration config) {

        config.getCorsRegistry().addMapping("/**").allowedOrigins("*").allowedHeaders("*").allowedMethods("GET", "POST", "PATCH", "PUT", "DELETE");
        }

    }

【讨论】:

  • 这是否适用于身份验证?上次我检查时,“*”允许的来源被浏览器解释为“不安全”,因此不允许发送身份验证标头。
  • 我指的是stackoverflow.com/questions/19743396/…
【解决方案2】:

您可以尝试以下方法 在controller 的顶部,您可以添加@CrossOrigin(origins = "*", allowedHeaders = "*") 或根据需要自定义

...
@CrossOrigin(origins = "*", allowedHeaders = "*")
@RestController
public class UserController {
    // Methods
}
...

请尝试上述解决方案,如果这不起作用,请告诉我

编辑 1: 您也可以尝试使用CORS 选项创建过滤器:

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

@Component
@Order(1)
public class SimpleCORSFilter implements Filter {

    private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);

    public SimpleCORSFilter() {
        log.info("SimpleCORSFilter init");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        // HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");

        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }

}

请尝试filters 方法,如果不起作用,请告诉我

【讨论】:

  • @CrossOrigin(origins = "localhost:4200") @RestController public class HelloWordlController { @GetMapping(path = "/hello-world") public String helloWorld() ......那部分我已经添加了,我也尝试了你的代码,但它不起作用兄弟
  • @MONISHANKAR 您是否添加了凭据允许?否则您的浏览器将不会发送任何内容。
  • @MONISHANKAR,添加了基于filters 的解决方案。请检查一次
  • @SagarCh 感谢您的代码,但我认为您的代码与 servlet 相关,并且 m 使用带有 springboot 安全性的 angular7..M 不确定它是否会工作..
猜你喜欢
  • 2019-05-13
  • 2019-04-17
  • 2019-12-14
  • 1970-01-01
  • 2020-09-30
  • 2019-04-11
  • 2020-01-23
  • 2019-10-22
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode