配置了全局跨域还是会出现跨域问题--拦截器影响跨域配置

原创 已于 2025-04-03 17:01:20 修改 · 447 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#java
于 2025-04-03 16:59:05 首次发布

配置了全局跨域还是会出现跨域问题

先说结论:拦截器影响跨域配置,
场景复现: 前后端分离项目

跨域问题的解决: 在后端写了一个解决跨域的类。 (当然也可以在前端,代理解决跨域 之后可以详细写一下)

全局跨域配置如下。

/**
 * 全局跨域配置
 * 该类用于配置Spring Boot应用的全局跨域资源共享(CORS)策略。
 * 通过实现WebMvcConfigurer接口并重写addCorsMappings方法,可以自定义CORS规则。
 */
@Configuration // 标记该类为配置类,Spring Boot会自动加载并应用该配置
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        // 配置CORS规则
        registry.addMapping("/**") // 匹配所有路径,即对所有请求应用CORS规则
                // 允许跨域请求携带凭证信息(如Cookies、HTTP认证等)
                .allowCredentials(true)
                // 允许哪些域名访问资源。使用allowedOriginPatterns而不是allowedOrigins,
                // 因为allowedOrigins("*")与allowCredentials(true)冲突。
                // allowedOriginPatterns支持通配符,且可以与allowCredentials(true)一起使用。
                .allowedOriginPatterns("*")
                // 允许的HTTP方法,包括GET、POST、PUT、DELETE和OPTIONS
                .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
                // 允许所有请求头
                .allowedHeaders("*")
                // 暴露所有响应头,使客户端可以访问这些头信息
                .exposedHeaders("*");
    }
}

我在后端写了跨域配置为什么还会出现跨域问题? 不自己看控制台的输出还真想不到是跨域的错。

这也没有响应码,正常的请求响应如下。

分析:为什么,我处理了跨域配置,其他请求也检验出跨域配置生效了,但是该接口还是出现了跨域问题。

具体的接口信息如下

/**
     * 下载清洗后的文件,Excel
     * @param ids 考勤记录ID集合
     */
    @PostMapping("/download")
    public void exportExcel(@RequestBody List<Long> ids, HttpServletResponse response) {
        try {
            // 1. 查询数据
            List<AttendanceRaw> attendanceRawList = attendanceRowService.listByIds(ids);

            // 2. 设置响应头
            response.setContentType("application/vnd.openxmlformats-officedocument.spreadsheetml.sheet");
            response.setCharacterEncoding("utf-8");
            String fileName = URLEncoder.encode("考勤清洗数据", StandardCharsets.UTF_8).replaceAll("\\+", "%20");
            response.setHeader("Content-disposition", "attachment;filename=" + fileName + ".xlsx");

            // 3. 直接写入响应流
            EasyExcel.write(response.getOutputStream(), AttendanceRaw.class)
                    .registerWriteHandler(new LongestMatchColumnWidthStyleStrategy())
                    .registerConverter(new CustomDateConverter())
                    .excludeColumnFieldNames(Arrays.asList("id","createTime", "updateTime"))
                    .sheet("考勤清洗数据")
                    .doWrite(attendanceRawList);
            
        } catch (Exception e) {
            response.setContentType("application/json");
            response.setStatus(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
            try {
                response.getWriter().write("{\"message\":\"导出Excel失败: " + e.getMessage() + "\"}");
            } catch (IOException ex) {
                // 忽略
            }
        }
    }

前端

/** exportExcel POST /api/attendanceRow/download */
export async function exportExcelUsingPost(
  body: number[],
  options?: { [key: string]: any } & { responseType?: 'blob' }
) {
  return request<Blob>('/api/attendanceRow/download', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
    },
    data: body,
    responseType: options?.responseType || 'json',
    ...(options || {}),
  });
}

 const response = await exportExcelUsingPost(recordIds, {
        responseType: 'blob',
        headers: {
          'Accept': 'application/vnd.openxmlformats-officedocument.spreadsheetml.sheet'
        }
      });

分析接口,没问题。

至此前后端接口都没问题?为何出现了跨域问题。

经过排查,发现,导致跨域不生效的原因竟然是拦截器。

下面分析一下拦截器是怎么影响跨域的。

我的登录拦截器: session 认证

//@Component  拦截器是非常轻量级的组件,只有再需要时才会被调用

/**
 * 拦截器,拦截需要认证的业务
 */
public class LoginInterceptor implements HandlerInterceptor {


    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {


        //  session登录方式
//        //1. 获取session
        HttpSession session = request.getSession();
//        // 2. 获取session中的用户
        Object user = session.getAttribute("user");
        if (user == null ) {
            //没有用户信息
            response.setStatus(401);
            response.setContentType("application/json");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().write("{\"code\": 401, \"message\": \"用户未登录\"}");
            return false;
        }

//        //3. todo 保存到ThreadLocal中
//        UserHolder.saveUser((User) user);

        return true;

    }

    // todo ThreadLocal
//    @Override
//    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
//       //移除信息,避免内存泄露
//        UserHolder.removeUser();
//    }
}

并且注册

/**
 * webMvc 配置
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 添加拦截器
     * @param registry
     */
    @Override
    public void addInterceptors(InterceptorRegistry registry) {

        registry.addInterceptor(new LoginInterceptor())
                .excludePathPatterns(
                        "/doc.html",
                        "/webjars/**",
                        "/swagger-resources",
                        "/swagger-resources/**",
                        "/v3/**",
                        "/favicon.ico",
                        "Mozilla/**",
                        "/druid/**",
                        "/user/register",
                        "/user/login",
                        "/user/logout",
                        "/user/get/login");

    }
}

可以看出对于拦截器排除的的请求地址,都会拦截。拦截该请求对该请求进行登录的校验。

那我明明已经登录了,登录拦截器应该会放行才对。

其实不是的,对于非简单的请求,会先发送一个options预先检验请求,这个请求是不携带用户信息的也就是空的数据,仅仅是来监测能该请求能不能发起这个请求,由于没有携带用户的登录信息所以就导致了拦截器拦截。

你说这些干嘛?不对把,跨域和跨域和拦截器有毛关系?我即使被拦截,也就返回拦截的信息,也就是未登录,为什么会直接跨域?

要理清这个问题,首先要理解,跨域处理和拦截器的执行顺序。

顺序如下

用户请求---->跨域处理--->用户登录拦截器-----执行请求--返回resopne

所以现在,发起一个非简单的请求,在次请求前会发送一个options请求。

对于已经登录的用户,但是发送的非简单请求(这个接口),会先一发段options请求,这个请求经过跨域处理在经过登录拦截器处理(但是,options不会携带用户信息)所以就在此被拦截,返回拦截的信息,也就是401未登录的信息。但是为什么浏览器显示是跨域的错误呢?

从浏览器的角度触发

  • 浏览器视角
    1. 它期望 OPTIONS 返回 200 + Access-Control-* 头。
    2. 但实际收到 401(且无 CORS 头),违反 CORS 协议。
    3. 浏览器认为“服务器不允许跨域”,直接阻断请求,甚至不会发送后续 POST
  • 开发者视角
    • 看似是“登录失效”,实则是 拦截器干扰了 CORS 流程,导致浏览器无法完成预检。

emm?不是先经过跨域处理,之后在经过登录拦截器吗?为什么经过了跨域处理返回头中没有Access-Control-*

这就要说SpringMVC 的 CORS 处理时机

正常流程(拦截器放行时):请求 → 拦截器(返回 true) → 控制器方法 → 响应处理(注入 CORS 头) → 返回响应

拦截器阻断流程请求 → 拦截器(返回 false) → 直接返回响应(无 CORS 头)

所以,就说明了上述,为什么配置了全局跨域,但是还会出现跨域的问题,原因就是拦截器,拦截options请求,导致请求在拦截器就返回,没有添加上跨域的头信息。

解决方法: 在拦截器中放行options 请求,这样让预检操作,能够判断可以发起请求,后续真的发起请求后,在拦截器判断是否登录。

//         放行OPTIONS请求
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            return true;
        }

其他解决方案

直接使用 CorsFilter

@Bean
public CorsFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOriginPattern("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("*");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}

其他的解决办法:跨域不在后端解决,直接Nginx解决,或者在前端使用代理解决。

hnsqls
关注
前后端分离架构问题处理
xiaobai_Qin的博客
06-26 2188
WebMvcConfigure是SpringMVC中⽤来定义Web相关配置的接⼝,通过实现该接⼝,可以配置Web容器中的组 件或资源。例如拦截器、视图控制器、静态资源处理器、视图解析器、域配置等等。使⽤WebMvcConfigure接⼝的步骤1)定义⼀个类,实现该接⼝2)添加Configuration注解,使该类成为配置类@Overrideregistry// 配置允许访问的资源,/**表示允许访问所有资源// 配置允许访问的源// 配置允许访问使⽤的请求⽅法。
Collectors.groupingBy(xxx)
hnsqls的博客
04-02 216
分享一个好用的stream 流的api。对一个集合的字段进行分组。比如要对一个集合进行分组。
啥的还是要后端来做!
sinat_41770242的博客
08-23 1368
package com.zcw.conf; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import o...
项目中CorsConfiguration 中的域配置可能不会生效。
2302_80222668的博客
04-23 581
注意:如果继承了 WebMvcConfigurationSupport,Spring Boot 默认的 MVC 配置会被禁用。因此,CorsConfiguration 中的域配置可能不会生效。如果不需要完全接管 Spring MVC 的配置,建议不要继承 WebMvcConfigurationSupport,而是使用 WebMvcConfigurer。如果项目中同时存在多个 WebMvcConfigurer 或继承了 WebMvcConfigurationSupport 的类,可能会导致配置覆盖或冲突。
问题记录-解决拦截器域配置的冲突问题
weixin_74894872的博客
11-01 1053
解决了SpringMVC拦截器问题配置之间的冲突产生的问题
使用拦截器解决问题
城陌者的博客
07-10 1267
/响应客户端的头部 允许携带Token 等等 response . setHeader("Access-Control-Allow-Credentials" , "true");// 允许携带cookie response . setHeader("Access-Control-Max-Age" , "3600");// 预检请求的结果缓存时间 return true;} }
配置WebMvcConfigurer全局,不生效的原因及解决办法
热门推荐
qq_41348755的博客
04-13 1万+
WebMvcConfigurer配置全局不生效
SpringBoot如何配置全局
yichen0429的博客
04-03 928
参考 首先贴出来官网文档给的例子 https://docs.spring.io/spring-framework/docs/current/reference/html/web.html#mvc-cors 这里把各个解决思路都写出来了 全局域配置存在的一些问题 全局官方给的第一种方案是下面这个样子, 例子在https://docs.spring.io/spring-framework/docs/current/reference/html/web.html#mvc-cors-global-java
SpringBoot3问题全解析
最新发布
2501_93873871的博客
12-10 1892
问题虽然看似简单,但在实际开发中却常常让开发者头疼不已。本文详细介绍了 Spring Boot3 中解决问题的四种方案:@CrossOrigin注解、全局配置 CORS、使用 Filter 实现 CORS 以及使用拦截器实现 CORS,并分析了每种方案的优缺点和适用场景。同时,我们还总结了 Spring Boot3 域配置的注意事项和常见问题,希望能帮助大家在实际开发中少走弯路。解决问题的关键在于理解浏览器的同源策略和 CORS 机制,然后根据项目的实际需求选择合适的解决方案。
后端配置,前端还是提示问题解决
explorer_321的博客
04-05 766
后端正确进行了域配置,但是前端浏览器请求的时候还是出现了问题,详细解决方案(实战测试可行)
CORS设置不生效排查之路
细嗅
12-15 1万+
结构:springboot2.x版本 CORS(资源共享),可以把其当做是通过设置http响应头来允许不同协议、ip、port可以请求。 在springboot中,一般常采用两种方式实现CORS: 一,通过拦截器的方式,通过继承WebMvcConfigurationSupport,重写addCorsMappings方法,具体代码如下: @Override protected void addCorsMappings(CorsRegistry registry) { ...
【开发篇】明明设置允许,为什么还会出现请求的问题
求索
06-23 3205
1、为什么会出现问题? 2、allowCredentials参数有什么作用? 3、微服务项目如何正确配置支持? 4、Spring Boot如何配置支持? 5、Spring Cloud Gateway如何配置支持?
设置了域配置,允许所有访问,浏览器还是显示问题
qq_33184225的博客
04-29 424
今天学习设置拦截器的时候,遇到了这个问题,明明设置允许所有访问,还是显示问题,当时人楞了一下。登录功能以及验证码接口都是可以正常使用,加载数据的时候,竟然显示问题,想想验证码和登录接口都是直接放行的,那应该就是拦截器这边的问题了,然后在网上找解决方案的时候,了解到。这个预检请求也会被拦截器拦截,导致预检失败,但是这时候也不会根据拦截器的返回内容进行显示,浏览器即显示问题
CORS问题处理
极赫赫的博客
05-11 1109
本文主要是后端对接口问题的简单处理、有需要的同学可以参考下。
后端通过CorsRegistry对象配置全局,但是前端仍然报CORS错误
热爱编程、热爱生活、热爱探索
07-29 4746
所以错误的跟本原因在于OPTIONS,由于我配置了登录拦截器,对于放行请求,不会有什么问题,但是对于没有放行的请求,会直接拦截OPTIONS请求,OPTIONS请求是一个探测请求,内部并不会携带token,所以就直接导致OTIONS请求被拦截,这样就会让浏览器觉得请求不可达,直接在前端报。在前后端分离的项目中,很容易出现错误,因为前端和后端的端口号、主机名一般都不相同,此时前端能够发送请求给后端,但是由于同源策略的存在,会直接被浏览器给拦截。也可以配置,我一般都是直接在后端配置的,可以使用**
springboot的@CrossOrigin("*")仍然失效
张文波的博客
10-23 1万+
项目中偶尔遇到即使加了@CrossOrigin失败: 第一次遇到时间有限没解决:前端直接添加处理。 jQuery.support.cors = true; 后续第二次遇到该问题,作为后端不能让前端解决问题。 debug详细查找原因:发现在自定义拦截器返回失败,失败。 明白该问题:需要以下知识。 (mvc拦截器的链路模式) (Cors拦截器加载) (自定义的拦截器加载...
SpringBoot项目请求放行配置工具类
zhengTornado的博客
12-06 703
package com.ruoyi.framework.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfigurat...
SSM使用拦截器Interceptor后,失败的解决方案
二木成林
03-13 1547
由于前后端分离,前端使用的是Vue,后端使用的是SSM,所以的解决方案是使用@CrossOrigin注解 @CrossOrigin(origins = "*", allowCredentials = "true") 但是使用SpringMVC的拦截器Interceptor后,就会失败了,拦截器是拦截登录操作,判断用户是否登录 @CrossOrigin(origins = "*", allowCredentials = "true") public class LoginIntercep
Vue前端请求后端接口出现问题(启用拦截器后)
bao_cai的博客
03-08 3063
在搜寻资料后发现,OPTIONS请求是一个预检请求,并不携带请求头数据,不能携带token值,所以验证不通过,抛出了一个异常。前端直接返回问题,这种情况很容易跑偏,我的理解是前端发出的是一个OPTIONS请求,后端放行只放行"GET", "POST", "PUT", "DELETE"方法,所以直接报错。下面只是其中的一个登录校验拦截器,还有一个权限拦截器,方法同理。点开请求查看详细信息,发现第一个list请求已经含有token,第二个请求头没有包含token,但发现他的请求方式为OPTIONS
问题解决实践
欢迎技术交流,可项目合作
02-01 678
在软件开发中,经常会遇到问题,这个问题比较头疼,今天主要介绍下遇到的问题解决思路及如何解决?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值