> 科技资讯 > SpringBoot 配置CORS处理前后端分离跨域配置无效问题解析

SpringBoot 配置CORS处理前后端分离跨域配置无效问题解析

科技资讯 投稿 6400 0 评论

SpringBoot 配置CORS处理前后端分离跨域配置无效问题解析

前言

CORS、反向代理和 JSONP的方式。本篇通过 SpringBoot 的资源共享配置(CORS来解决前后端分离项目的跨域,以及从原理上去解决跨域配置不生效的问题。

准备工作

其中 vue3-element-admin 默认通过 vite + proxy 前端反向代理解决跨域,如果想关闭方向代理只需修改 baseURL 即可:

// request.ts
const service = axios.create({
  //baseURL: import.meta.env.VITE_APP_BASE_API,  // 前端反向代理解决跨域的配置
  baseURL: "http://localhost:8989", // 后端通过配置CORS解决跨域的配置, http://localhost:8989 是后端接口地址
  timeout: 50000,
  headers: { 'Content-Type': 'application/json;charset=utf-8' }
};

配置 CORS 允许跨域

一般情况在项目添加以下配置即可解决浏览器跨域限制。

/**
 * CORS 资源共享配置
 *
 * @author haoxr
 * @date 2022/10/24
 */
@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter( {
        CorsConfiguration corsConfiguration = new CorsConfiguration(;
        //1.允许任何来源
        corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*";
        //2.允许任何请求头
        corsConfiguration.addAllowedHeader(CorsConfiguration.ALL;
        //3.允许任何方法
        corsConfiguration.addAllowedMethod(CorsConfiguration.ALL;
        //4.允许凭证
        corsConfiguration.setAllowCredentials(true;

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(;
        source.registerCorsConfiguration("/**", corsConfiguration;
        return new CorsFilter(source;
    }
}

CORS 允许跨域原理

CorsFilter 读取 CorsConfig 配置通过 DefaultCorsProcessor 给 response 响应头添加 Access-Control-Allow-* 以允许跨域请求能够被成功处理。

响应头参数 作用
Access-Control-Allow-Origin 允许访问的源地址
Access-Control-Allow-Methods 允许访问的请求方法
Access-Control-Allow-Headers 允许访问的请求头
Access-Control-Allow-Credentials 是否允许发送 Cookie 等身份凭证
Access-Control-Max-Age 缓存预检请求的时间

CORS 配置失效原理分析

其实就是一个结论:有中断响应的过滤器在 CorsFilter 之前执行了,也就无法执行到 CorsFilter,自然 CorsConfiguration 中的配置形同虚设。

常见的场景:项目中使用了 Spring Security 安全框架导致 CORS 跨域配置失效。

在 ApplicationFilterChain#internalDoFilter 添加断点,然后通过改造后(移除反向代理的 vue3-element-admin 发出跨域请求。

跨域请求没到达 CorsFilter 过滤器就先被 Spring Security 的过滤器给拦截了,要知道预检 OPTIONS 请求是不带 token 的,所以响应 401 未认证的错误。预检请求失败导致后面的请求响应会被浏览器拦截。

CORS 配置失效解决方案

    解决方案一: 配置 CorsFilter 优先于 SpringSecurityFilter 执行;

  • 解决方案二: 放行预检 OPTIONS 请求 + 基础 CORS 配置。

解决方案一(推荐

Spring Security 过滤器是通过 SecurityFilterAutoConfiguration 的 DelegatingFilterProxyRegistrationBean 注册到 servletContext上下文,其中过滤器的顺序属性 Order 读取的 是 SecurityProperties 的默认配置也就是 -100;

/**
 * CORS资源共享配置
 *
 * @author haoxr
 * @date 2023/4/17
 */
@Configuration
public class CorsConfig {

    @Bean
    public FilterRegistrationBean filterRegistrationBean( {
        CorsConfiguration corsConfiguration = new CorsConfiguration(;
        //1.允许任何来源
        corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*";
        //2.允许任何请求头
        corsConfiguration.addAllowedHeader(CorsConfiguration.ALL;
        //3.允许任何方法
        corsConfiguration.addAllowedMethod(CorsConfiguration.ALL;
        //4.允许凭证
        corsConfiguration.setAllowCredentials(true;

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(;
        source.registerCorsConfiguration("/**", corsConfiguration;
        CorsFilter corsFilter = new CorsFilter(source;

        FilterRegistrationBean<CorsFilter> filterRegistrationBean=new FilterRegistrationBean<>(corsFilter;
        filterRegistrationBean.setOrder(-101;  // 小于 SpringSecurity Filter的 Order(-100 即可

        return filterRegistrationBean;
    }
}

可以看到不同源的跨域请求能够成功响应。

解决方案二

SecurityConfig 放行 OPTIONS 预检请求配置 SecurityConfig 配置源码

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http throws Exception {
        http 
            	...
                // 走 Spring Security 过滤器链的放行配置
                .requestMatchers(HttpMethod.OPTIONS,"/**".permitAll( // 放行预检请求
                .anyRequest(.authenticated(;

        return http.build(;
    }

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer( {
        // 不走过滤器链的放行配置
        return (web -> web.ignoring(
                .requestMatchers(HttpMethod.OPTIONS,"/**" // 放行预检请求
         
    }

基础的跨域共享配置

@Configuration
public class CorsConfig {

    @Bean
    public CorsFilter corsFilter( {
        CorsConfiguration corsConfiguration = new CorsConfiguration(;
        //1.允许任何来源
        corsConfiguration.setAllowedOriginPatterns(Collections.singletonList("*";
        //2.允许任何请求头
        corsConfiguration.addAllowedHeader(CorsConfiguration.ALL;
        //3.允许任何方法
        corsConfiguration.addAllowedMethod(CorsConfiguration.ALL;
        //4.允许凭证
        corsConfiguration.setAllowCredentials(true;

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(;
        source.registerCorsConfiguration("/**", corsConfiguration;
        return new CorsFilter(source;
    }
    
}

另外有自定义过滤器 (例如:VerifyCodeFilter)通过 response.getWriter(.print( 响应给浏览器也是不走后面的 CorsFilter 过滤器,所以需要设置响应头

// ResponseUtils# writeErrMsg
response.setContentType(MediaType.APPLICATION_JSON_VALUE;
response.setHeader("Access-Control-Allow-Origin","*";
response.getWriter(.print(JSONUtil.toJsonStr(Result.failed(resultCode;

前/后端源码

完整项目源码地址如下,如果有相关问题可以通过项目 关于我们 添加交流群。

Gitee Github
前端 vue3-element-admin vue3-element-admin
后端 youlai-boot youlai-boot

编程笔记 » SpringBoot 配置CORS处理前后端分离跨域配置无效问题解析

赞同 (32) or 分享 (0)
游客 发表我的评论   换个身份
取消评论

表情
(0)个小伙伴在吐槽