# CORS
Spring Framework 提供CORS 的一流支持 (opens new window)。CORS 必须在 Spring 安全性之前进行处理,因为飞行前请求将不包含任何 cookie(即JSESSIONID
)。如果请求不包含任何 cookie 并且 Spring 安全性是第一位的,则该请求将确定用户未经过身份验证(因为在该请求中没有 cookie)并拒绝它。
确保先处理 CORS 的最简单方法是使用CorsWebFilter
。用户可以通过提供CorsConfigurationSource
将CorsWebFilter
与 Spring 安全性集成在一起。例如,以下将在 Spring 安全性中集成 CORS 支持:
爪哇
@Bean
CorsConfigurationSource corsConfigurationSource() {
CorsConfiguration configuration = new CorsConfiguration();
configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
configuration.setAllowedMethods(Arrays.asList("GET","POST"));
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", configuration);
return source;
}
Kotlin
@Bean
fun corsConfigurationSource(): CorsConfigurationSource {
val configuration = CorsConfiguration()
configuration.allowedOrigins = listOf("https://example.com")
configuration.allowedMethods = listOf("GET", "POST")
val source = UrlBasedCorsConfigurationSource()
source.registerCorsConfiguration("/**", configuration)
return source
}
以下操作将禁用 Spring Security 中的 CORS 集成:
爪哇
@Bean
SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
http
// ...
.cors(cors -> cors.disable());
return http.build();
}
Kotlin
@Bean
fun springSecurityFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
// ...
cors {
disable()
}
}
}
← HTTP RSocket 安全性 →