No 'Access-Control-Allow-Origin' header: 跨域问题踩坑记录

前言

前两周在服务器上部署一个系统时,遇到了跨域问题,这也不是第一次遇到跨域问题了,本来以为解决起来会很顺利,没想到解决过程中遇到了很多坑,所以觉得有必要写一篇博客记录一下这个坑。

问题产生原因

本来我们组的应用都有一个统一的网关服务进行接口请求转发,相关的配置都做好了,并不存在跨域问题。但前两周因为业务拓展,需要将部分应用拆分出来,部署到其他服务器上,这里面就包含我负责的两个应用。

其中一个应用,因为是前后端不分离的项目,不存在跨域问题,所以部署起来比较顺利,直接打了一个jar包丢到服务器上面就顺利跑起来了。另一个项目则是前后端分离的项目,打jar包部署的过程倒时挺顺利的,可是当我把前端用nginx跑起来之后,却看到了类似下图这样一堆报错:

这一看就是跨域问题了。

解决过程

1、修改nginx配置(不起作用)

因为上一次遇到跨域问题,我就是通过nginx配置代理转发解决的,所以这次我首先想到的还是通过修改nginx配置来解决这个问题,所以我在nginx配置文件中添加了类似这样的配置:

server{
    listen 8888;
    server_name  192.168.1.100;

    location /{
        proxy_pass http://192.168.1.100:8080;
    }

    location /api{
        proxy_pass http://192.168.1.100:8081; // 以api开头的接口请求,全部转发到这里
}
}

然而,并不起作用。之后,我又在nginx配置文件中添加了一些关于请求头的设置,如下所示:

add_header 'Access-Control-Allow-Headers' '*';
add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS,HEAD,PUT';
add_header 'Access-Control-Allow-Origin' '*';
add_header 'Access-Control-Allow-Credentials' 'true'

同样的,也没有解决问题。到这里,我暂时放弃通过修改nginx配置文件来解决跨域问题的想法了。

2、在后端代码中添加跨域处理配置

关于如何在后端解决跨域问题,我之前也了解过,查了一下网上资料后,在代码中添加了一下两个配置类:

WebMvcConfig:

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

/**
 * 全局处理接口跨域
 */
@Configuration
public class WebMvcConfig extends WebMvcConfigurerAdapter {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
//                .allowedOrigins("*")
                // 这里网上的资料大部分说的是.allowedOrigins("*"),但因为我的springboot版本是2.5.5,
                // allowCredentials为true时并且allowedOrigins不为空且为ALL(这个ALL就是*)时就会抛出异常
                // 所以这里我设置的是.allowedOriginPatterns("*")
                .allowedOriginPatterns("*")
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")
                .maxAge(3600)
                .allowCredentials(true);
    }
}

CORSFilter:

import org.springframework.stereotype.Component;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 全局处理接口跨域
 */
@Component
public class CORSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        res.setHeader("Access-Control-Allow-Origin", "*");
        res.setHeader("Access-Control-Allow-Credentials", "true");
        res.setHeader("Access-Control-Allow-Methods", "GET,HEAD,OPTIONS,POST,PUT");
        res.setHeader("Access-Control-Allow-Headers", "*");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }

}

本来以为加上了这两个配置类,这把绝对没问题了,可惜,问题依然没有解决。

但这次部署上去之后,报错信息发生了变化,提示某些请求头(如client_id)没能成功跨域,这也给了我一些启发。

3、最终的解决方案

最后的最后,我将CORSFilter配置类中的:

res.setHeader("Access-Control-Allow-Headers", "*");

修改为:

res.setHeader("Access-Control-Allow-Headers", "client_id, Authorization, Access-Control-Allow-Headers, Origin, Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers");

然后,打包部署上去,总算解决了跨域问题。

总结

这次问题解决后,我又查了一些资料,发现了以下两个知识点:

1、Access-Control-Allow-Origin 请求头的设置是有一些特殊限制的,当 Access-Control-Allow-Credentials 的值为 true 时会导致Access-Control-Allow-Origin 无法被设置为「*」。

2、因为我的springboot版本较新,所以网上通用的很多跨域配置对我不太适用。比如 Access-Control-Allow-Headers 不能直接设置为 *,而需要将特定的请求头给明确列出来才可生效。

这次折腾了这么久,尝试了网上各种方法都不生效,主要就是因为以上两点,好在最后总算顺利解决了。

posted @ 2021-11-30 10:59  blayn  阅读(3719)  评论(1编辑  收藏  举报