spring boot设置了Access-Control-Allow-Origin还是有跨域问题

最近使用spring cloud框架进行前后端分离开发，因为我们是通过网关去访问后台接口,ip
、端口都相同，所以没有出现过跨域问题，但是前端的同事把项目用webstrom打开以后(端口和ip就成了webstrom分配的)就有了跨域问题无法请求到后台，浏览器报"CORS 头缺少 'Access-Control-Allow-Origin'"，但是我们已经在网关里设置了Access-Control-Allow-Origin为*，代码如下：

@Service
public class AuthFilter extends ZuulFilter {
    /**
     * 日志对象
     */
    private static final Logger logger = LoggerFactory.getLogger(AuthFilter.class);
    @Autowired
    private FilterConfig filterConfig;
    /**
     * redis缓存
     */
    @Autowired
    private RedisService redisService;
    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        HttpServletResponse response = ctx.getResponse();
        //解决浏览器跨域问题
        response.addHeader("Access-Control-Allow-Origin", "*");
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
//        response.addHeader("Access-Control-Allow-Credentials", "true");
//        response.addHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH");
//        response.addHeader("Access-Control-Max-Age", "3600");
//        response.addHeader("Vary", "Origin");
        response.addHeader("Access-Control-Allow-Headers", "token,accesstoken,Content-type");
        //请求接口URL时登录token有效性校验
        return null;
    }

    @Override
    public String filterType() {
        return "pre";
    }

    @Override
    public int filterOrder() {
        return 0;
    }

}

对此我在本地随便写了个小项目还原了当时的情景，我把代码以及报错贴出来麻烦各位看一下哪里有不对的；
前端代码:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title></title>
        <script src="js/jquery-1.9.1.min.js"></script>
    </head>
    <script>
        function t1(){
            $.ajax({
                url:'http://localhost:9001/xzw/say',
                type:'post',
                contentType : 'application/json;charset=utf-8', 
                dataType:'json',
                data : JSON.stringify({
                    batch_id : 'ncveirugheasolvgil'
                }),
                success : function(data){
                    alert('成功跨域');
                    alert(data);
                },
                error : function(){
                    alert('error');
                }
            })
        }
    </script>
    <body>
        <input type="button" value="测试跨域是否能获取数据" onclick="t1()"/>
    </body>
</html>

后台代码:

@RestController
@RequestMapping("/xzw")
public class PageDemoController {
    @RequestMapping("/say")
    public String say(HttpServletRequest request,HttpServletResponse response,@RequestParam(value="batch_id")String batch_id){
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.addHeader("Access-Control-Allow-Headers", "*");
        System.out.println("batch_id="+batch_id);


        return "hello world";
    }
}

浏览器报错

已拦截跨源请求：同源策略禁止读取位于 http://localhost:9001/xzw/say 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）。[详细了解]

已拦截跨源请求：同源策略禁止读取位于 http://localhost:9001/xzw/say 的远程资源。（原因：CORS 请求未能成功）。[详细了解]

我们项目里的拦截器原本除了设置Access-Control-Allow-Origin还有验证token的代码，前端如果先进行登陆然后在ajax请求的时候把token拿到放在header里就不会有跨域问题，我把token验证的代码去掉了就出现了跨域问题，但是我看验证token的逻辑判断对跨域没有什么特殊的处理，一下为拦截器原代码:

public Object run() {
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
        HttpServletResponse response = ctx.getResponse();
        //解决浏览器跨域问题
        response.addHeader("Access-Control-Allow-Origin", "*");
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
//        response.addHeader("Access-Control-Allow-Credentials", "true");
//        response.addHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH");
//        response.addHeader("Access-Control-Max-Age", "3600");
//        response.addHeader("Vary", "Origin");
        response.addHeader("Access-Control-Allow-Headers", "token,accesstoken,Content-type");
        //请求接口URL时登录token有效性校验
        Object token = request.getHeader("token");
        if(token==null||token.equals("")) {
            token = null;
        }
        boolean flag = false;//请求路径是否在过滤范围标识
        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            ctx.setSendZuulResponse(false);
            return null;
        }
        String ignores = filterConfig.getIgnores();
        if(!StringUtilHelper.isEmpty(ignores)) {
            String[] ignores_arr = ignores.split(",");
            for(String ignore:ignores_arr) {
                if(request.getRequestURI().toString().contains(ignore)) {
                    //无需token校验
                    flag = true;
                    break;
                }
            }
        }
        logger.info("网关日志：method={}, uri={},result={},token={}",request.getMethod(), request.getRequestURI(), (true==flag?"无需token校验":"需要token校验"),token);
        if(!flag) {
            //需要校验token有效性
            if(token==null) {
                ctx.setSendZuulResponse(false);
                ctx.setResponseStatusCode(HttpServletResponse.SC_UNAUTHORIZED);
                ctx.setResponseBody("token为空，未认证用户");
                return null;
            } else {
                //redis校验
                if(redisService.check(token.toString())!=ServiceConstants.STATE_1) {
                    ctx.setSendZuulResponse(false);
                    ctx.setResponseStatusCode(HttpServletResponse.SC_UNAUTHORIZED);
                    ctx.setResponseBody("token超时，请重新登录");
                    return null;
                }
            }
        }
        return null;
    }

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

8条回答

//Q 2019-01-18 17:52

关注

在你的AuthFilter 里面把shouldFilter() 替换成这个

@Override
    public boolean shouldFilter() {
        RequestContext ctx = RequestContext.getCurrentContext();
        HttpServletRequest request = ctx.getRequest();
                HttpServletResponse response = ctx.getResponse();
        if("OPTIONS".equals(request.getMethod())){
            //过滤该请求，不往下级服务去转发请求，到此结束  
            ctx.setSendZuulResponse(false); 
            ctx.setResponseStatusCode(200);  
            ctx.getResponse().setContentType("text/html;charset=UTF-8");
            ctx.setResponseBody("true");
                            response.setHeader("Access-Control-Allow-Origin", "*");
                            response.setHeader("Access-Control-Allow-Credentials", "true");
                            response.setHeader("Access-Control-Allow-Methods", "GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH");
                            response.setHeader("Access-Control-Max-Age", "3600");
                            response.addHeader("Access-Control-Allow-Headers", "token,accesstoken,Content-type");
            return false;
        }
        return true;
    }

本回答被题主选为最佳回答 , 对您是否有帮助呢?

查看更多回答(7条)

报告相同问题？

关注问题

spring boot设置了Access-Control-Allow-Origin还是有跨域问题 java java-ee
2019-01-17 22:46

回答 8 已采纳在你的AuthFilter 里面把shouldFilter() 替换成这个 ``` @Override public boolean shouldFilter() { Re
配置"Access-Control-Allow-Origin" value="*"，报错 c# vue.js
2020-09-25 17:23

回答 1 已采纳在服务器上调试下，看看具体报什么错误，是不是跨域参数没有传过来。或者f12抓包看看。
Access-Control-Allow-Headers需要手动设置吗？如何设置？php语言 php
2018-10-31 03:01

回答 2 已采纳多个用英文状态下逗号隔开 ``` header('Access-Control-Allow-Headers:UserToken'); ``` 而且自己浏览器开发工具看下请求返回的响应
从spring boot到spring cloud（八）Access-Control-Allow-Origin解决跨域问题
2022-06-01 11:38

lzy711的博客前后端分离以后，因为不在同一个域名下面，前端调用后端接口时候如果没有设置允许跨域就会报Access-Control-Allow-Origin错误。先继承implements WebMvcConfigurer。然后实现addCorsMappings方法，配置参数。第二...
XMLHttpRequest无法加载'url'。 Access-Control-Allow-Origin不允许使用origin'url' ajax jquery php
2012-08-10 13:51

回答 1 已采纳 Put that on the page which you call : <?php header("Access-Control-Allow-Origin: *"); ?&gt
vue项目打包到spring boot项目的static文件夹中是不是就不用解决跨域问题了？ intellij-idea java spring vue.js
2021-01-08 16:52

回答 9 已采纳因为vue 项目打包之后转移到spring boot中静态文件中啦，其实直接部署的是一个jar/war包的形式，部署之后其实就是访问jar/war的一个静态资源，我博客中，有文章写的这个部署方式
shiro+jwt 跨域问题 java java-ee spring
2021-07-06 21:04

回答 6 已采纳你可以这样试试看 @Configuration public class GlobalCorsConfig { /** * 允许跨域调用的过滤器 */ @Bean
Java Demo示例：Springboot解决Access-Control-Allow-Origin跨域问题、浏览器同源策略详解
2020-05-04 09:59

坐望云起的博客同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。同源策略是一种关键的安全机制，它限制一个源加载的文档或脚本如何与另...
vue+spring boot解决跨域的方法 intellij-idea java maven spring
2019-07-26 08:20

回答 3 已采纳 index.js 加入如下配置 proxyTable: { '/api': { target: 'http://localhost:8090',
springsecurity配置cors，全局配置不起效，@CrossOrigin注解有效 java spring spring boot
2022-04-24 23:14

回答 2 已采纳 2.6的springboot好像不支持配置类方式的跨域，用注解就行了
spring-security遇到的问题 java spring
2022-10-07 21:25

回答 3 已采纳问题已经解决，问题出在用 BCrypt 密码加密测试那一步，由于马虎直接new了加密处理器，没有使用bean里面注入的，导致数据库密码加密校验时对不上，security里没有过验证，所以没有报错，只给
Springboot解决Access-Control-Allow-Origin跨域问题
2020-10-21 15:23

她是那样傲娇的博客最近在开发过程中遇到Access-Control-Allow-Origin这个问题，下面是个人网上搜罗的方法文章目录前言一、添加配置文件二，创建文件1.创建CorsFilter类2.创建CorsConfig类前言这个方法适用于springboot 提示：...
java上传图片跨域请求错误，设置了corsfilter也不可以。 java-ee 有问必答
2021-04-21 00:32

回答 5 已采纳比较这个看看： registry.addMapping("/**") .allowedOrigins("*") .allowCredentials(true)
Spring Boot如何解决前端的Access-Control-Allow-Origin跨域问题
2019-12-03 16:54

某科学的南条的博客当我们在做前后端分离的开发时，提示Access-Control-Allow-Origin跨域问题，解决方案跟客户端没关系，修改的是服务端一、在过滤器中设置响应头： @WebFilter(filterName = "CorsFilter ") public class CorsFilter ...
Cors跨域(三)：Access-Control-Allow-Origin多域名？
2021-06-14 13:41

YourBatman的博客响应头设置不合理，公司安全部门会请你喝茶
没有解决我的问题, 去提问

悬赏问题

¥15 求daily translation（DT）偏差订正方法的代码
¥15 js调用html页面需要隐藏某个按钮
¥15 ads仿真结果在圆图上是怎么读数的
¥20 Cotex M3的调试和程序执行方式是什么样的？
¥20 java项目连接sqlserver时报ssl相关错误
¥15 一道python难题3
¥15 牛顿斯科特系数表表示
¥15 arduino 步进电机
¥20 程序进入HardFault_Handler
¥15 关于#python#的问题：自动化测试

码龄粉丝数原力等级 --

spring boot设置了Access-Control-Allow-Origin还是有跨域问题

8条回答

码龄粉丝数原力等级 --

悬赏问题