CORS

Spring Framework は、CORS のファーストクラスのサポートを提供します。プリフライトのリクエストには Cookie(つまり、JSESSIONID)が含まれていないため、CORS は Spring Security の前に処理する必要があります。リクエストに Cookie が含まれておらず、Spring Security が最初の場合、リクエストはユーザーが認証されていないと判断し(リクエストに Cookie がないため)、それを拒否します。

CORS が最初に処理されるようにする最も簡単な方法は、CorsFilter を使用することです。ユーザーは、CorsConfigurationSource を提供することで、CorsFilter を Spring Security と統合できます。Spring Security は、UrlBasedCorsConfigurationSource インスタンスが存在する場合にのみ CORS を自動的に構成することに注意してください。例: 次の例は、Spring Security 内で CORS サポートを統合します。

  • Java

  • Kotlin

@Bean
UrlBasedCorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
    configuration.setAllowedMethods(Arrays.asList("GET","POST"));
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}
@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
    val configuration = CorsConfiguration()
    configuration.allowedOrigins = listOf("https://example.com")
    configuration.allowedMethods = listOf("GET", "POST")
    val source = UrlBasedCorsConfigurationSource()
    source.registerCorsConfiguration("/**", configuration)
    return source
}

次のリストは、XML でも同じことを行います。

<http>
	<cors configuration-source-ref="corsSource"/>
	...
</http>
<b:bean id="corsSource" class="org.springframework.web.cors.UrlBasedCorsConfigurationSource">
	...
</b:bean>

Spring MVC の CORS サポートを使用する場合は、CorsConfigurationSource の指定を省略でき、Spring Security は Spring MVC に提供されている CORS 構成を使用します。

  • Java

  • Kotlin

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
		http
			// if Spring MVC is on classpath and no CorsConfigurationSource is provided,
			// Spring Security will use CORS configuration provided to Spring MVC
			.cors(withDefaults())
			...
		return http.build();
	}
}
@Configuration
@EnableWebSecurity
open class WebSecurityConfig {
    @Bean
    open fun filterChain(http: HttpSecurity): SecurityFilterChain {
        http {
            // if Spring MVC is on classpath and no CorsConfigurationSource is provided,
            // Spring Security will use CORS configuration provided to Spring MVC
            cors { }
            // ...
        }
        return http.build()
    }
}

次のリストは、XML でも同じことを行います。

<http>
	<!-- Default to Spring MVC's CORS configuration -->
	<cors />
	...
</http>

複数の CorsConfigurationSource Bean がある場合、Spring Security は CORS サポートを自動的に構成しません。これは、どれを使用するかを決定できないためです。SecurityFilterChain ごとに異なる CorsConfigurationSource を指定する場合は、それを .cors() DSL に直接渡すことができます。

  • Java

  • Kotlin

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	@Order(0)
	public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
		http
			.securityMatcher("/api/**")
			.cors((cors) -> cors
				.configurationSource(apiConfigurationSource())
			)
			...
		return http.build();
	}

	@Bean
	@Order(1)
	public SecurityFilterChain myOtherFilterChain(HttpSecurity http) throws Exception {
		http
			.cors((cors) -> cors
				.configurationSource(myWebsiteConfigurationSource())
			)
			...
		return http.build();
	}

	UrlBasedCorsConfigurationSource apiConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://api.example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}

	UrlBasedCorsConfigurationSource myWebsiteConfigurationSource() {
		CorsConfiguration configuration = new CorsConfiguration();
		configuration.setAllowedOrigins(Arrays.asList("https://example.com"));
		configuration.setAllowedMethods(Arrays.asList("GET","POST"));
		UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		source.registerCorsConfiguration("/**", configuration);
		return source;
	}

}
@Bean
fun corsConfigurationSource(): UrlBasedCorsConfigurationSource {
    val configuration = CorsConfiguration()
    configuration.allowedOrigins = listOf("https://example.com")
    configuration.allowedMethods = listOf("GET", "POST")
    val source = UrlBasedCorsConfigurationSource()
    source.registerCorsConfiguration("/**", configuration)
    return source
}

CORS はブラウザーベースのセキュリティ機能です。.cors(CorsConfigurer::disable) を使用して Spring Security の CORS を無効にしても、ブラウザーから CORS 保護が削除されるわけではありません。Spring Security から CORS サポートが削除され、ユーザーはクロスオリジンブラウザーアプリケーションから Spring バックエンドにアクセスできなくなります。アプリケーションの CORS エラーを修正するには、CORS サポートを有効にし、適切な設定ソースを提供する必要があります。