Pochopení chyb CORS v aplikacích Spring Boot a React
Při vývoji webových aplikací pomocí Reagovat pro frontend a Jarní bota pro backend je častým problémem, kterému vývojáři čelí, nechvalně známá chyba CORS. K této chybě dochází, když prohlížeč zablokuje požadavek z bezpečnostních důvodů, zejména při pokusu o připojení k backendové službě hostované na jiném portu nebo doméně. V tomto případě řešíte problém CORS při vytváření a požadavek GET z React na Spring Boot API.
Chybová zpráva obvykle naznačuje, že prohlížeč blokuje váš požadavek, protože Access-Control-Allow-Origin záhlaví buď chybí, nebo je nesprávně nakonfigurováno. Stojí za zmínku, že nástroje jako Listonoš nevynucujte tato bezpečnostní omezení, což je důvod, proč váš požadavek může fungovat perfektně v Postman, ale selže v prohlížeči.
Ve vašem scénáři chybová zpráva označuje, že požadavek před výstupem neprošel kontrolou řízení přístupu. K tomu obvykle dochází, když některá záhlaví nebo metody nejsou povoleny nebo správně nakonfigurovány v zásadách CORS serveru. I když se zdá, že konfigurace CORS je na straně serveru na místě, mohou se vyskytnout specifické problémy s tím, jak zpracovává požadavky prohlížeče.
Tento článek vám pomůže pochopit hlavní příčinu problému a provede vás možnými řešeními, jak problém vyřešit Chyba CORS ve vaší aplikaci React a Spring Boot.
| Příkaz | Příklad použití |
|---|---|
| @WebMvcConfigurer | Anotace Spring Boot používaná ke konfiguraci webových nastavení, jako jsou CORS, interceptory a formátovače. V kontextu tohoto problému se používá k definování pravidel mapování CORS, která umožňují konkrétní původ a metody. |
| allowedOrigins() | Tato metoda je součástí konfigurace CORS a určuje, které zdroje mají povolen přístup k serveru. V tomto případě zajišťuje, že frontend běžící na 'http://localhost:8081' může komunikovat s backendem. |
| withCredentials() | Konfigurace Axios, která umožňuje, aby požadavky mezi původy zahrnovaly přihlašovací údaje, jako jsou soubory cookie a ověřování HTTP. To je zásadní při zpracovávání bezpečných požadavků, které vyžadují data specifická pro uživatele. |
| MockMvcRequestBuilders.options() | Metoda v frameworku MockMvc Spring Boot používaná pro simulaci požadavku HTTP OPTIONS. To se obvykle používá ke zpracování požadavků před výstupem v CORS, přičemž se kontroluje oprávnění serveru před odesláním skutečného požadavku. |
| HttpHeaders.ORIGIN | Tato hlavička se používá v CORS k určení původu požadavku. Ve scénáři cross-origin je to odesláno z frontendu na server, aby se ověřilo, zda je původ povolen. |
| MockMvcResultMatchers.header() | Toto je metoda používaná při testování jednotek ke kontrole konkrétních hlaviček HTTP v odpovědi. Zajišťuje, že se hlavička 'Access-Control-Allow-Origin' vrací správně jako odpověď na požadavky před výstupem. |
| Authorization: Bearer | V požadavku Axios předává tato hlavička token nosiče pro ověření. Zajišťuje, že backend může ověřit identitu klienta, který požadavek podává. |
| useEffect() | React Hook, který se spustí po vykreslení komponenty. V tomto případě se používá ke spuštění volání API do backendu a načtení projektových dat, když se komponenta připojí. |
| axios.get() | Metoda poskytovaná společností Axios pro vytváření požadavků HTTP GET. V tomto scénáři se používá k odeslání požadavku do Spring Boot API a načtení dat projektu. |
Řešení chyb CORS v aplikacích React a Spring Boot
Výše uvedené skripty mají za cíl vyřešit problém Chyby CORS v nastavení frontendu React a backendu Spring Boot. K chybě dochází, když se frontend, hostovaný na 'http://localhost:8081', pokusí provést požadavek GET na Spring Boot API hostované na 'http://localhost:8080'. Prohlížeče prosazují přísná bezpečnostní pravidla, aby zabránily neoprávněným žádostem o cross-origin, a proto existují tyto zásady CORS. The WebMvcConfigurer class v konfiguraci backendu Spring Boot pomáhá definovat pravidla CORS, která umožňují specifické zdroje a metody, což nakonec problém vyřeší.
V backendu definuje soubor `CorsConfig.java` konfigurační třídu Spring Boot. The @Fazole a @Přepsat anotace se používají k vložení a přizpůsobení konfigurace CORS. V metodě `addCorsMappings()` funkce `allowedOrigins()` explicitně povoluje požadavky z 'http://localhost:8081' a zajišťuje, že prohlížeč rozpozná tento původ jako důvěryhodný zdroj. Zahrnutí `allowedMethods()` zajišťuje, že jsou povoleny všechny metody HTTP, včetně GET, POST a OPTIONS. To je zásadní, protože prohlížeče obvykle odesílají požadavek OPTIONS před výstupem, aby zkontrolovaly, zda je skutečný požadavek GET povolen.
Na frontendu React zpracovává požadavky pomocí Axios, oblíbený HTTP klient. Ve funkci `fetchData` souboru `ProjectPage.tsx` odešle funkce `axios.get()` požadavek GET do backendu Spring Boot. Možnost `withCredentials` je nastavena na hodnotu true, což umožňuje odesílání souborů cookie a ověřovacích pověření s požadavkem. Kromě toho je zahrnuta hlavička Authorization, která předává token uživatele a zajišťuje, že je požadavek správně ověřen. Bez těchto konfigurací by prohlížeč požadavek z bezpečnostních důvodů zablokoval.
Nakonec soubor testu jednotky, `CorsTest.java`, ověřuje, že konfigurace CORS funguje podle očekávání. Tento test simuluje požadavek HTTP OPTIONS na backend API, který napodobuje skutečný požadavek před výstupem zadaný prohlížečem. Test kontroluje, zda odpověď obsahuje správné hlavičky, jako např Access-Control-Allow-Origin, který umožňuje cross-origin požadavky z frontendu. Metoda `MockMvcResultMatchers.header()` zajišťuje, že server správně odpovídá na požadavky před výstupem. Zahrnutím testů jednotek mohou vývojáři zajistit, aby jejich konfigurace CORS byla spolehlivá a funkční v různých prostředích.
Řešení chyb CORS v React + Spring Boot pomocí konfiguračních vylepšení
Přístup 1: Použití konfigurace Spring Boot CORS v backendu
// CorsConfig.java@Configurationpublic class CorsConfig implements WebMvcConfigurer {@Overridepublic void addCorsMappings(CorsRegistry registry) {registry.addMapping("/").allowedOrigins("http://localhost:8081").allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS").allowedHeaders("*").allowCredentials(true);}}
Použití Axios pro správné zacházení s CORS s cookies v React
Přístup 2: Reagujte na konfiguraci frontendu Axios pro požadavky Cross-Origin
// ProjectPage.tsxconst ProjectsPage = () => {const [projectsData, setProjectsData] = useState<ProjectsData[]>([]);const projectsUrl = 'http://localhost:8080/api/projects/admin/toinspection';useEffect(() => { fetchData(); }, []);const fetchData = async () => {const token = Cookies.get('token');try {const response = await axios.get<ProjectsData[]>(projectsUrl, {headers: { "Content-Type": "application/json", Authorization: `Bearer ${token}` },withCredentials: true});setProjectsData(response.data);} catch (error) {console.error("Error fetching projects:", error);}};return (<div><AdminPageTemplate type="projects" children=<AdminModContent data={projectsData} />/></div>);};export default ProjectsPage;
Testování zásad CORS pomocí testů jednotek v aplikaci Spring Boot
Přístup 3: Psaní jednotkových testů pro ověření zásad CORS
// CorsTest.java@RunWith(SpringRunner.class)@WebMvcTestpublic class CorsTest {@Autowiredprivate MockMvc mockMvc;@Testpublic void testCorsHeaders() throws Exception {mockMvc.perform(MockMvcRequestBuilders.options("/api/projects/admin/toinspection").header(HttpHeaders.ORIGIN, "http://localhost:8081").header(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD, "GET")).andExpect(MockMvcResultMatchers.status().isOk()).andExpect(MockMvcResultMatchers.header().exists("Access-Control-Allow-Origin")).andExpect(MockMvcResultMatchers.header().string("Access-Control-Allow-Origin", "http://localhost:8081"));}}
Zkoumání CORS v kontextu bezpečnosti a návrhu API
Při jednání s CORS (Cross-Origin Resource Sharing) v moderních webových aplikacích je zásadní porozumět bezpečnostním důsledkům, které za tím stojí. CORS je implementován jako bezpečnostní opatření prohlížečů, aby se zabránilo škodlivým webům v zasílání neoprávněných požadavků API jménem uživatelů. To je důležité zejména ve scénářích, kde dochází k výměně citlivých dat mezi frontendovými a backendovými službami, jako jsou ověřovací tokeny a přihlašovací údaje uživatele. Při nastavování CORS v backendu Spring Boot je nezbytné povolit přístup k chráněným zdrojům pouze důvěryhodným zdrojům, takže konfigurace zabezpečení je klíčovým prvkem architektury systému.
Dalším zásadním aspektem je zpracování požadavků před výstupem, což jsou automatické požadavky provedené prohlížečem před skutečným požadavkem GET nebo POST. K tomu dochází, když klient potřebuje potvrdit, zda server povoluje požadavky na křížový původ a zda podporuje konkrétní hlavičky nebo metody. V některých případech dochází k chybné konfiguraci při manipulaci s nimi předletové požadavky může způsobit problémy vedoucí k chybám CORS, i když skutečný požadavek funguje v nástrojích, jako je Postman, dobře. Konfigurace `CorsRegistry` Spring Boot se správnými hlavičkami a metodami zajišťuje správné zpracování požadavků před výstupem, což umožňuje hladkou interakci mezi frontendem a backendem.
Navíc manipulace s CORS by neměla být statická nebo univerzální. V dynamických prostředích, jako jsou ta spravovaná pomocí mikroslužeb, mohou mít různá rozhraní API různé požadavky na zabezpečení. Některá rozhraní API mohou potřebovat pouze odhalit určité metody, zatímco jiná mohou vyžadovat přísnější kontrolu nad původy. Zde je důležité vyladit konfiguraci CORS pro každý koncový bod. Správná správa CORS také pomáhá s optimalizací výkonu API snížením zbytečných požadavků na kontrolu před výstupem a zajištěním hladké interakce s uživatelem.
Často kladené otázky o CORS v React a Spring Boot
- Co je CORS a proč jej potřebuji?
- CORS je bezpečnostní mechanismus vynucený prohlížeči k povolení nebo blokování požadavků z různých zdrojů. Potřebujete to, abyste zajistili, že k vašemu API budou mít přístup pouze důvěryhodné zdroje.
- Jak povolím CORS v Spring Boot?
- V Spring Boot můžete povolit CORS konfigurací @WebMvcConfigurer rozhraní a specifikování povolených zdrojů, metod a hlaviček pomocí allowedOrigins a allowedMethods.
- Proč můj požadavek funguje v Postman, ale selže v prohlížeči?
- Postman obchází zásady zabezpečení prohlížeče, jako je CORS, ale prohlížeče je přísně vynucují. Ujistěte se, že váš server odesílá do prohlížeče správná záhlaví CORS.
- Co je předletová žádost?
- Předletový požadavek je automatický OPTIONS požadavek odeslaný prohlížečem ke kontrole, zda je skutečný požadavek serverem povolen, zejména u nejednoduchých HTTP požadavků.
- Jak mohu otestovat nastavení CORS?
- Svou konfiguraci CORS můžete otestovat pomocí MockMvcRequestBuilders.options() v jednotkových testech k simulaci požadavků před výstupem a ověření odpovědí serveru.
Poslední myšlenky na CORS v React a Spring Boot
Řešení Chyby CORS v aplikacích s React a Spring Boot zahrnuje jasné pochopení bezpečnostních zásad vynucovaných prohlížeči. Správnou konfigurací povolených zdrojů a metod v backendu Spring Boot lze většině těchto problémů předejít.
Bezpečné zpracování tokenů v požadavcích a zajištění odesílání správných hlaviček navíc zajistí hladkou komunikaci mezi frontendovými a backendovými systémy. Tato příručka pomáhá řešit běžné výzvy, kterým vývojáři čelí, a zajišťuje bezpečné a funkční požadavky napříč původy.
Zdroje a reference pro řešení CORS v React a Spring Boot
- Podrobné informace o manipulaci CORS chyby v aplikacích Spring Boot je k dispozici v oficiální dokumentaci Spring. Spring Framework dokumentace CORS
- Chcete-li pochopit, jak spravovat CORS v aplikacích React pomocí Axios, můžete se podívat na tuto příručku. Konfigurace požadavku Axios
- Tento článek od Baeldung poskytuje informace o konfiguraci CORS v prostředí Spring Boot. Baeldung - Průvodce pružinovými botami CORS
- Mozilla Developer Network (MDN) nabízí komplexní vysvětlení CORS a jeho důležitosti ve webové bezpečnosti. Webové dokumenty MDN - CORS