弹簧全局 CORS 配置不起作用，但控制器级别配置不起作用

cors cross-domain http-headers java spring-mvc

2022-09-01 03:16:51

我正在尝试通过如下所示全局配置CORS。为了进行测试，我正在通过我创建的用于模拟外部服务的小节点应用来命中我的 API 终结点。当我尝试此方法时，响应不包含正确的标头，并且失败WebMvcConfigurerAdapter

XMLHttpRequest cannot load http://localhost:8080/api/query/1121. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:333' is therefore not allowed access.

全局配置

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

@EnableWebMvc
@Configuration
public class WebConfig extends WebMvcConfigurerAdapter {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            registry.addMapping("/api/query/**")
                    .allowedOrigins("*")
                    .allowedHeaders("*")
                    .allowCredentials(true);
        }
}

但是，当我像这样使用注释时，它就可以很好地响应正确的标头。@CrossOrigin

@CrossOrigin(origins = "*", allowCredentials = "true", allowedHeaders = "*")
@RestController
@RequestMapping(value = "/api/query", produces = MediaType.APPLICATION_JSON_VALUE)
public class QueryController {
   ......
}

生产

Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:http://localhost:333

我错过了什么才能使全局配置正常工作（请按照此处的说明 https://spring.io/blog/2015/06/08/cors-support-in-spring-framework）。我觉得我错过了一些简单的东西，因为注释控制器工作得很好。

答案 1

为了使全局 CORS 配置正常工作，客户端必须在 OPTIONS 请求中添加这两个标头。

Origin: http://host.com
Access-Control-Request-Method: POST

但是，@CrossOrigin注释只需要“Origin”标头。
您的客户端可能添加了“Origin”标头，但缺少“访问控制-请求-方法”.....这就是为什么它适用于@CrossOrigin，但不适用于全局配置。

答案 2

你没有在其中声明方法，默认情况下只接受get方法。尝试registry.allowedMethods("*");