Spring Boot中跨域CORS配置不生效的底层过滤器执行链解析

Spring Boot CORS 配置失效的深度解析：过滤器链的视角

大家好，今天我们来聊聊 Spring Boot 中跨域资源共享 (CORS) 配置失效的问题。CORS 是一个重要的安全机制，它允许浏览器在遵守安全策略的前提下，向不同源的服务器发起请求。但在实际开发中，CORS 配置失效的情况时有发生，这往往会让开发者感到困惑。

今天，我们不讲概念性的东西，而是深入到 Spring Boot 的底层，从过滤器执行链的角度来剖析 CORS 配置失效的常见原因，并提供相应的解决方案。

CORS 基础回顾

在深入细节之前，我们先简单回顾一下 CORS 的核心概念。

• 同源策略 (Same-Origin Policy)： 这是浏览器的一个安全策略，它限制了来自不同源的文档或脚本对当前文档的访问。源由协议、域名和端口组成。
• 跨域请求 (Cross-Origin Request)： 当一个请求的源与被请求资源的源不同时，就称为跨域请求。
• CORS 机制： CORS 是一种浏览器和服务器之间的协议，它允许服务器指定哪些源可以访问其资源。

CORS 的核心在于服务器通过 HTTP 响应头来告知浏览器是否允许跨域请求。常见的 CORS 响应头包括：

• Access-Control-Allow-Origin: 指定允许访问资源的源，可以使用 * 表示允许所有源。
• Access-Control-Allow-Methods: 指定允许使用的 HTTP 方法，例如 GET, POST, PUT, DELETE 等。
• Access-Control-Allow-Headers: 指定允许在请求中使用的 HTTP 头。
• Access-Control-Allow-Credentials: 指定是否允许发送 Cookie。
• Access-Control-Expose-Headers: 指定允许浏览器访问的响应头。

Spring Boot 中的 CORS 配置方式

Spring Boot 提供了多种配置 CORS 的方式，包括：

1. 全局配置 (Global Configuration): 使用 @Configuration 和 WebMvcConfigurer 接口来实现全局的 CORS 配置。

   @Configuration
   public class CorsConfig implements WebMvcConfigurer {
       @Override
       public void addCorsMappings(CorsRegistry registry) {
           registry.addMapping("/**")
                   .allowedOrigins("http://example.com")
                   .allowedMethods("GET", "POST", "PUT", "DELETE")
                   .allowedHeaders("*")
                   .allowCredentials(true);
       }
   }

2. 注解配置 (Annotation-Based Configuration): 使用 @CrossOrigin 注解来配置单个 Controller 或 Controller 方法的 CORS 规则。

   @RestController
   @RequestMapping("/api")
   @CrossOrigin(origins = "http://example.com", methods = {RequestMethod.GET, RequestMethod.POST})
   public class MyController {
       // ...
   }

3. Filter 配置 (Filter-Based Configuration): 直接使用 Filter 来处理 CORS 请求。这种方式通常用于更细粒度的控制，或者当需要与其他 Filter 集成时。

   @Component
   @Order(Ordered.HIGHEST_PRECEDENCE) // 确保 Filter 优先执行
   public class CorsFilter implements Filter {
   
       @Override
       public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
           HttpServletResponse response = (HttpServletResponse) res;
           HttpServletRequest request = (HttpServletRequest) req;
           response.setHeader("Access-Control-Allow-Origin", "http://example.com");
           response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
           response.setHeader("Access-Control-Allow-Headers", "*");
           response.setHeader("Access-Control-Allow-Credentials", "true");
   
           if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
               response.setStatus(HttpServletResponse.SC_OK);
           } else {
               chain.doFilter(req, res);
           }
       }
   
       @Override
       public void init(FilterConfig filterConfig) throws ServletException {
           // 初始化逻辑
       }
   
       @Override
       public void destroy() {
           // 销毁逻辑
       }
   }

CORS 配置失效的原因分析：过滤器链的视角

理解 Spring Boot 的过滤器执行链是解决 CORS 配置失效问题的关键。Spring Boot 使用 FilterChain 来管理和执行一系列的 Filter。请求到达服务器后，会依次经过 FilterChain 中的每个 Filter。响应也同样会依次经过 FilterChain 中的每个 Filter。

CORS 配置失效的根本原因在于：CORS 相关的 Filter 没有正确地执行，或者 CORS 相关的响应头被后续的 Filter 修改或覆盖了。

下面我们详细分析几种常见的 CORS 配置失效情况，并从过滤器链的角度来解释原因：

1. Filter 执行顺序问题

Filter 的执行顺序由 @Order 注解或 FilterRegistrationBean 中的 order 属性决定。如果 CORS 相关的 Filter 执行顺序不正确，可能会导致 CORS 配置失效。

情况一：CORS Filter 执行过晚

如果 CORS Filter 在其他 Filter 之后执行，那么其他 Filter 可能会修改请求或响应，导致 CORS 相关的响应头被覆盖或遗漏。

例如：

• Security Filter: Spring Security 的 Filter 可能会在 CORS Filter 之前执行，并且由于 Security 默认的行为，可能会导致 CORS 相关的响应头没有被设置。
• CharacterEncodingFilter: 字符编码 Filter 可能会修改响应的 Content-Type，如果 CORS Filter 在其之后执行，可能无法正确设置 CORS 相关的响应头。

解决方案：

• 确保 CORS Filter 的 @Order 值小于其他 Filter，例如使用 Ordered.HIGHEST_PRECEDENCE 或负数。
• 如果使用 FilterRegistrationBean 注册 Filter，确保设置正确的 order 属性。

示例代码：

@Component
@Order(Ordered.HIGHEST_PRECEDENCE) // 确保 CORS Filter 优先执行
public class CorsFilter implements Filter {
    // ... 省略代码 ...
}

情况二：多个 CORS Filter 冲突

如果定义了多个 CORS Filter，并且这些 Filter 的配置相互冲突，可能会导致 CORS 配置失效。

例如：

• 一个 Filter 允许 http://example.com 访问，另一个 Filter 允许 * 访问，但后执行的 Filter 覆盖了前一个 Filter 的配置，导致最终的 CORS 规则不符合预期。

解决方案：

• 避免定义多个 CORS Filter，尽量在一个 Filter 中处理所有的 CORS 逻辑。
• 如果必须定义多个 CORS Filter，确保这些 Filter 的配置不冲突，并且能够正确地合并。

2. 预检请求 (Preflight Request) 处理不当

对于复杂的跨域请求（例如使用 PUT、DELETE 方法，或者自定义请求头），浏览器会先发送一个 OPTIONS 请求（预检请求）到服务器，以确定服务器是否允许该跨域请求。

如果服务器没有正确处理预检请求，可能会导致 CORS 配置失效。

情况一：OPTIONS 请求被拦截

如果某些 Filter 或拦截器拦截了 OPTIONS 请求，并且没有正确地处理 CORS 相关的响应头，会导致浏览器无法通过预检，从而阻止实际的跨域请求。

例如：

• Security Filter 可能会拦截未授权的 OPTIONS 请求。
• 自定义的拦截器可能会对所有请求进行拦截，包括 OPTIONS 请求。

解决方案：

• 确保 OPTIONS 请求能够到达 CORS Filter，并且 CORS Filter 能够正确地设置 CORS 相关的响应头。
• 如果 Security Filter 拦截了 OPTIONS 请求，需要配置 Security 允许未授权的 OPTIONS 请求通过。

示例代码：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.cors().and().csrf().disable()
        .authorizeRequests()
        .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允许未授权的 OPTIONS 请求
        .anyRequest().authenticated()
        .and()
        .httpBasic();
}

情况二：OPTIONS 请求处理不完整

即使 CORS Filter 处理了 OPTIONS 请求，但如果处理不完整，例如缺少必要的响应头，或者响应头的值不正确，也可能导致 CORS 配置失效。

例如：

• 缺少 Access-Control-Allow-Methods 响应头，或者 Access-Control-Allow-Methods 的值不包含请求使用的 HTTP 方法。
• 缺少 Access-Control-Allow-Headers 响应头，或者 Access-Control-Allow-Headers 的值不包含请求使用的自定义请求头。

解决方案：

• 确保 CORS Filter 能够正确地设置所有必要的 CORS 响应头，包括 Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers、Access-Control-Allow-Credentials 和 Access-Control-Max-Age。
• 根据实际情况，动态地设置 Access-Control-Allow-Headers 的值，以允许请求使用的所有自定义请求头。

3. 响应头被覆盖或修改

CORS 配置的最终效果取决于服务器返回的 HTTP 响应头。如果 CORS 相关的响应头在 CORS Filter 设置之后被其他 Filter 或拦截器覆盖或修改，会导致 CORS 配置失效。

例如：

• 某些 Filter 可能会修改 Access-Control-Allow-Origin 的值，或者完全移除该响应头。
• 某些拦截器可能会添加或修改其他的响应头，导致浏览器无法正确解析 CORS 相关的响应头。

解决方案：

• 仔细检查所有的 Filter 和拦截器，确保它们不会覆盖或修改 CORS 相关的响应头。
• 可以使用浏览器的开发者工具来查看实际的 HTTP 响应头，以确定 CORS 相关的响应头是否正确。

4. 使用了错误的配置方式

Spring Boot 提供了多种配置 CORS 的方式，但如果使用了错误的配置方式，或者配置不完整，可能会导致 CORS 配置失效。

情况一：全局配置和注解配置冲突

如果同时使用了全局配置和注解配置，并且这两种配置相互冲突，可能会导致 CORS 配置失效。

例如：

• 全局配置允许所有源访问，但注解配置只允许特定源访问，导致实际的 CORS 规则不符合预期。

解决方案：

• 尽量使用一种配置方式，避免全局配置和注解配置的冲突。
• 如果必须同时使用全局配置和注解配置，确保这两种配置能够正确地合并。注解配置具有更高的优先级，会覆盖全局配置。

情况二：配置不完整

如果配置不完整，例如缺少必要的 CORS 响应头，或者响应头的值不正确，也可能导致 CORS 配置失效。

例如：

• 缺少 Access-Control-Allow-Credentials 响应头，导致无法发送 Cookie。
• Access-Control-Allow-Origin 的值设置为 *，但 Access-Control-Allow-Credentials 的值设置为 true，这会导致浏览器报错，因为 Access-Control-Allow-Origin 不能同时设置为 * 和允许发送 Cookie。

解决方案：

• 确保配置完整，包括所有必要的 CORS 响应头。
• 根据实际情况，正确地设置每个 CORS 响应头的值。
• 如果需要发送 Cookie，Access-Control-Allow-Origin 的值必须设置为具体的源，不能设置为 *。

5. 浏览器缓存

浏览器会对 CORS 相关的响应进行缓存。如果服务器的 CORS 配置发生了变化，但浏览器仍然使用缓存中的旧配置，可能会导致 CORS 配置失效。

解决方案：

• 清除浏览器的缓存。
• 设置 Access-Control-Max-Age 响应头，以控制浏览器缓存 CORS 响应的时间。

示例代码：

response.setHeader("Access-Control-Max-Age", "3600"); // 缓存 1 小时

调试 CORS 问题的技巧

调试 CORS 问题可能比较困难，但以下技巧可以帮助你快速定位问题：

1. 使用浏览器的开发者工具： 浏览器的开发者工具可以显示详细的 HTTP 请求和响应信息，包括 CORS 相关的响应头。通过查看这些信息，可以确定 CORS 配置是否正确。
2. 查看服务器日志： 服务器日志可以记录 CORS 相关的请求和响应信息，以及可能出现的错误。通过查看服务器日志，可以了解 CORS 配置是否生效，以及是否存在其他问题。
3. 使用 CORS 验证工具： 有一些在线的 CORS 验证工具可以帮助你检查 CORS 配置是否正确。这些工具可以模拟浏览器发送跨域请求，并检查服务器返回的响应头。
4. 逐步调试： 如果无法确定问题的原因，可以逐步调试代码，例如在 CORS Filter 中添加日志，以确定 CORS 相关的响应头是否被正确设置。

总结：CORS配置失效的根本原因和解决方案

CORS 配置失效的根本原因在于 CORS 相关的 Filter 没有正确地执行，或者 CORS 相关的响应头被后续的 Filter 修改或覆盖了。 理解Spring Boot 过滤器链是解决问题的关键。

针对不同的原因，可以采取相应的解决方案，例如调整 Filter 的执行顺序，正确处理预检请求，避免响应头被覆盖或修改，使用正确的配置方式，以及清除浏览器缓存。通过仔细检查代码和配置，并使用调试技巧，可以快速定位和解决 CORS 配置失效的问题。