Comporigin

my

@CrossOrigin

注释的端点规则被忽略，允许任何交叉启示请求通过。但是，我的理解是，首先，春季安全的

@CrossOrigin应允许请求，以后有些CorsFilter

应该找到

HandlerInterceptor

注释并执行第二个CORS检查。

可以一起使用这两个CORS配置，或者一旦我选择安全CORS配置，我应该在那里设置所有内容？

@CrossOrigin

.cors(withDefaults()) 

我期望

@Bean fun corsConfigurationSource(): CorsConfigurationSource { val source = UrlBasedCorsConfigurationSource() source.registerCorsConfiguration("/**", superPermissiveConfiguration()) return source } @GetMapping("/set-csrf-cookie") @ResponseStatus(HttpStatus.OK) @CrossOrigin(origin = "https://<someURL>/") // UI application URL fun setCsrfCookie(){}

注释端点将在

@CrossOrigin

之后检查并覆盖全局配置。

我看到一个问题，因为弹簧安全性一旦启用后就可以完全控制CORS，这意味着您的控制器上的cors。

eption1：从Spring Security中删除全局CORS配置。

eption2：而不是使用

CorsFilter

，而是每个端点配置CORS规则。