$lang['tuto'] = "opplæringsprogrammer"; ?> Løsning av React og Spring Boot CORS-problemer: Blokkert

Løsning av React og Spring Boot CORS-problemer: Blokkert GET-forespørsel

Temp mail SuperHeros
Løsning av React og Spring Boot CORS-problemer: Blokkert GET-forespørsel
Løsning av React og Spring Boot CORS-problemer: Blokkert GET-forespørsel
Daniel Marino
Mandag 4. november 2024 00:26:37

Forstå CORS-feil i Spring Boot og React-apper

Ved utvikling av webapplikasjoner ved hjelp av Reagere for frontend og Fjærstøvel for backend er et vanlig problem utviklere står overfor den beryktede CORS-feilen. Denne feilen oppstår når nettleseren blokkerer en forespørsel på grunn av sikkerhetsårsaker, spesielt når du prøver å koble til en backend-tjeneste som er vert på en annen port eller domene. I dette tilfellet har du å gjøre med et CORS-problem mens du lager en FÅ forespørsel fra React til en Spring Boot API.

Feilmeldingen indikerer vanligvis at nettleseren blokkerer forespørselen din fordi Access-Control-Allow-Origin header mangler eller er feil konfigurert. Det er verdt å merke seg at verktøy som Postbud ikke håndhev disse sikkerhetsrestriksjonene, og det er grunnen til at forespørselen din kanskje fungerer perfekt i Postman, men mislykkes i nettleseren.

I scenarioet ditt indikerer feilmeldingen at en forhåndskontrollforespørsel ikke består tilgangskontrollkontrollen. Dette skjer vanligvis når visse overskrifter eller metoder ikke er tillatt eller riktig konfigurert i serverens CORS-policy. Mens CORS-konfigurasjon ser ut til å være på plass på serversiden, kan det være spesifikke problemer med hvordan den håndterer nettleserforespørsler.

Denne artikkelen vil hjelpe deg med å forstå årsaken til problemet og veilede deg gjennom mulige løsninger for å løse problemet CORS feil i React and Spring Boot-applikasjonen.

Kommando Eksempel på bruk
@WebMvcConfigurer En Spring Boot-annotering som brukes til å konfigurere nettinnstillinger som CORS, interceptorer og formatere. I sammenheng med dette problemet, brukes det til å definere CORS-kartleggingsreglene som tillater spesifikke opprinnelser og metoder.
allowedOrigins() Denne metoden er en del av CORS-konfigurasjonen og spesifiserer hvilke kilder som har tilgang til serveren. I dette tilfellet sikrer det at frontend som kjører på 'http://localhost:8081' kan kommunisere med backend.
withCredentials() En Axios-konfigurasjon som lar forespørsler med kryssopprinnelse inkludere legitimasjon som informasjonskapsler og HTTP-autentisering. Dette er avgjørende når du håndterer sikre forespørsler som trenger brukerspesifikke data.
MockMvcRequestBuilders.options() En metode i Spring Boots MockMvc-rammeverk som brukes til å simulere en HTTP OPTIONS-forespørsel. Dette brukes vanligvis til å håndtere forhåndskontrollforespørsler i CORS, og sjekke servertillatelsen før den faktiske forespørselen sendes.
HttpHeaders.ORIGIN Denne overskriften brukes i CORS for å spesifisere opprinnelsen til forespørselen. I et cross-origin-scenario sendes dette fra frontend til serveren for å bekrefte om opprinnelsen er tillatt.
MockMvcResultMatchers.header() Dette er en metode som brukes i enhetstesting for å se etter spesifikke HTTP-hoder i svaret. Den sikrer at "Access-Control-Allow-Origin"-overskriften returneres riktig som svar på forhåndskontrollforespørsler.
Authorization: Bearer I Axios-forespørselen sender denne overskriften et bærertoken for autentisering. Det sikrer at backend kan bekrefte identiteten til klienten som sender forespørselen.
useEffect() En React Hook som kjører etter at komponenten er gjengitt. I dette tilfellet brukes den til å utløse API-kallet til backend, og hente prosjektdata når komponenten monteres.
axios.get() En metode levert av Axios for å lage HTTP GET-forespørsler. I dette scenariet brukes den til å sende en forespørsel til Spring Boot API og hente prosjektdata.

Håndtering av CORS-feil i React- og Spring Boot-applikasjoner

Skriptene ovenfor tar sikte på å løse problemet med CORS feil i et React-frontend og Spring Boot-backend-oppsett. Feilen oppstår når grensesnittet, vert på 'http://localhost:8081', forsøker å sende en GET-forespørsel til en Spring Boot API som er vert på 'http://localhost:8080'. Nettlesere håndhever strenge sikkerhetsregler for å forhindre uautoriserte forespørsler på tvers av opprinnelse, og det er derfor disse CORS-retningslinjene eksisterer. De WebMvcConfigurer klasse i Spring Boot-backend-konfigurasjonen hjelper med å definere CORS-regler som tillater spesifikke opprinnelser og metoder, og til slutt løser problemet.

I bakenden definerer `CorsConfig.java`-filen en Spring Boot-konfigurasjonsklasse. De @Bønne og @Overstyr merknader brukes til å injisere og tilpasse CORS-konfigurasjonen. I `addCorsMappings()`-metoden tillater `allowedOrigins()`-funksjonen eksplisitt forespørsler fra 'http://localhost:8081', og sikrer at nettleseren gjenkjenner denne opprinnelsen som en pålitelig kilde. Inkluderingen av `allowedMethods()` sikrer at alle HTTP-metoder, inkludert GET, POST og OPTIONS, er tillatt. Dette er avgjørende fordi nettlesere vanligvis sender en preflight OPTIONS-forespørsel for å sjekke om den faktiske GET-forespørselen er tillatt.

På frontend håndterer React forespørsler ved hjelp av Axios, en populær HTTP-klient. I `fetchData`-funksjonen til `ProjectPage.tsx`-filen, sender `axios.get()`-funksjonen en GET-forespørsel til Spring Boot-backend. Alternativet "withCredentials" er satt til true, slik at informasjonskapsler og autentiseringslegitimasjon kan sendes med forespørselen. I tillegg er autorisasjonsoverskriften inkludert for å sende brukerens token, for å sikre at forespørselen er autentisert på riktig måte. Uten disse konfigurasjonene ville nettleseren blokkert forespørselen på grunn av sikkerhetsårsaker.

Til slutt validerer enhetstestfilen, `CorsTest.java`, at CORS-konfigurasjonen fungerer som forventet. Denne testen simulerer en HTTP OPTIONS-forespørsel til backend-API-en, som etterligner en reell forhåndsforespørsel fra nettleseren. Testen sjekker at svaret inneholder riktige overskrifter, som f.eks Access-Control-Allow-Origin, som tillater kryssopprinnelsesforespørsler fra grensesnittet. `MockMvcResultMatchers.header()`-metoden sikrer at serveren svarer riktig på forhåndskontrollforespørsler. Ved å inkludere enhetstester kan utviklere sikre at deres CORS-konfigurasjon er pålitelig og funksjonell i ulike miljøer.

Løse CORS-feil i React + Spring Boot med konfigurasjonsjusteringer

Tilnærming 1: Bruk av Spring Boot CORS-konfigurasjon i backend

// CorsConfig.java
@Configuration
public class CorsConfig implements WebMvcConfigurer {
   @Override
   public void addCorsMappings(CorsRegistry registry) {
      registry.addMapping("/")
              .allowedOrigins("http://localhost:8081")
              .allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS")
              .allowedHeaders("*")
              .allowCredentials(true);
   }
}

Bruk av Axios for riktig CORS-håndtering med informasjonskapsler i React

Tilnærming 2: Reager Frontend Axios Configuration for Cross-Origin Requests

// ProjectPage.tsx
const ProjectsPage = () => {
   const [projectsData, setProjectsData] = useState<ProjectsData[]>([]);
   const projectsUrl = 'http://localhost:8080/api/projects/admin/toinspection';
   useEffect(() => { fetchData(); }, []);
   const fetchData = async () => {
      const token = Cookies.get('token');
      try {
         const response = await axios.get<ProjectsData[]>(projectsUrl, {
            headers: { "Content-Type": "application/json", Authorization: `Bearer ${token}` },
            withCredentials: true
         });
         setProjectsData(response.data);
      } catch (error) {
         console.error("Error fetching projects:", error);
      }
   };
   return (
      <div>
         <AdminPageTemplate type="projects" children=<AdminModContent data={projectsData} />/>
      </div>
   );
};
export default ProjectsPage;

Testing av CORS-policyer med enhetstester i Spring Boot

Tilnærming 3: Skrive enhetstester for å validere CORS-policy

// CorsTest.java
@RunWith(SpringRunner.class)
@WebMvcTest
public class CorsTest {
   @Autowired
   private MockMvc mockMvc;
   @Test
   public void testCorsHeaders() throws Exception {
      mockMvc.perform(MockMvcRequestBuilders.options("/api/projects/admin/toinspection")
              .header(HttpHeaders.ORIGIN, "http://localhost:8081")
              .header(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD, "GET"))
              .andExpect(MockMvcResultMatchers.status().isOk())
              .andExpect(MockMvcResultMatchers.header().exists("Access-Control-Allow-Origin"))
              .andExpect(MockMvcResultMatchers.header().string("Access-Control-Allow-Origin", "http://localhost:8081"));
   }
}

Utforsking av CORS i sammenheng med sikkerhet og API-design

Når man har å gjøre med CORS (Cross-Origin Resource Sharing) i moderne nettapplikasjoner er det avgjørende å forstå sikkerhetsimplikasjonene bak det. CORS er implementert som et sikkerhetstiltak av nettlesere for å forhindre at ondsinnede nettsteder kommer med uautoriserte API-forespørsler på vegne av brukere. Dette er spesielt viktig i scenarier der sensitive data utveksles mellom frontend- og backend-tjenester, som autentiseringstokener og brukerlegitimasjon. Når du setter opp CORS i en Spring Boot-backend, er det viktig å la bare pålitelige opphaver få tilgang til beskyttede ressurser, noe som gjør sikkerhetskonfigurasjonen til et sentralt element i systemets arkitektur.

Et annet viktig aspekt er håndtering av forhåndskontrollforespørsler, som er automatiske forespørsler fra nettleseren før selve GET- eller POST-forespørselen. Dette skjer når klienten må bekrefte om serveren tillater kryssopprinnelsesforespørsler og støtter spesifikke overskrifter eller metoder. I noen tilfeller feilkonfigurasjoner i håndteringen av disse forhåndsflygingsforespørsler kan forårsake problemer, noe som resulterer i CORS-feil selv når den faktiske forespørselen fungerer fint i verktøy som Postman. Konfigurering av Spring Boots 'CorsRegistry' med de riktige overskriftene og metodene sikrer at forhåndskontrollforespørsler behandles riktig, noe som tillater jevn interaksjon mellom frontend og backend.

Dessuten skal CORS-håndtering ikke være statisk eller ensartet. I dynamiske miljøer som de som administreres med mikrotjenester, kan forskjellige APIer ha forskjellige sikkerhetskrav. Noen API-er trenger kanskje bare å avsløre visse metoder, mens andre kan kreve strengere kontroll over opprinnelsen. Det er her finjustering av CORS-konfigurasjonen for hvert endepunkt blir viktig. Riktig CORS-administrasjon hjelper også med å optimalisere API-ytelsen ved å redusere unødvendige forhåndskontrollforespørsler og sikre jevn brukerinteraksjon.

Ofte stilte spørsmål om CORS i React og Spring Boot

  1. Hva er CORS, og hvorfor trenger jeg det?
  2. CORS er en sikkerhetsmekanisme som håndheves av nettlesere for å tillate eller blokkere forespørsler på tvers av opprinnelse. Du trenger den for å sikre at bare pålitelige opphaver har tilgang til API-en din.
  3. Hvordan aktiverer jeg CORS i Spring Boot?
  4. I Spring Boot kan du aktivere CORS ved å konfigurere @WebMvcConfigurer grensesnitt og spesifisere tillatte opprinnelser, metoder og overskrifter ved hjelp av allowedOrigins og allowedMethods.
  5. Hvorfor fungerer forespørselen min i Postman, men mislykkes i nettleseren?
  6. Postman omgår nettlesersikkerhetspolicyer som CORS, men nettlesere håndhever dem strengt. Sørg for at serveren sender riktige CORS-overskrifter til nettleseren.
  7. Hva er en preflight-forespørsel?
  8. En forhåndsforespørsel er en automatisk OPTIONS forespørsel sendt av nettleseren for å sjekke om den faktiske forespørselen er tillatt av serveren, spesielt for ikke-enkle HTTP-forespørsler.
  9. Hvordan kan jeg teste CORS-oppsettet mitt?
  10. Du kan teste CORS-konfigurasjonen ved å bruke MockMvcRequestBuilders.options() i enhetstester for å simulere forhåndskontrollforespørsler og verifisere serversvar.

Siste tanker om CORS i React og Spring Boot

Løser CORS feil i applikasjoner med React og Spring Boot innebærer en klar forståelse av sikkerhetspolicyer håndhevet av nettlesere. Ved å riktig konfigurere tillatte opprinnelser og metoder i Spring Boot-backend, kan de fleste av disse problemene forhindres.

I tillegg vil håndtering av tokens sikkert i forespørsler og sikre at riktige overskrifter sendes sikre jevn kommunikasjon mellom frontend- og backend-systemer. Denne veiledningen hjelper til med å håndtere vanlige utfordringer utviklere står overfor, og sikrer sikre og funksjonelle forespørsler på tvers av opprinnelse.

Kilder og referanser for CORS-løsninger i React og Spring Boot
  1. Detaljert informasjon om håndtering CORS feil i Spring Boot-applikasjoner er tilgjengelig i den offisielle Spring-dokumentasjonen. Spring Framework CORS-dokumentasjon
  2. For å forstå hvordan du administrerer CORS i React-applikasjoner ved hjelp av Axios, kan du se denne veiledningen. Axios Request Configuration
  3. Denne artikkelen fra Baeldung gir innsikt i konfigurering av CORS i et Spring Boot-miljø. Baeldung - Spring Boot CORS Guide
  4. Mozilla Developer Network (MDN) tilbyr en omfattende forklaring av CORS og dens betydning for nettsikkerhet. MDN Web Docs - CORS