我在Spring Boot中设置了全局CORS,并编写了以下代码,并发现如果access-control-allow-origin为*,则凭证不能为真 . 为什么凭证不能成立?为什么CORS不能正常工作?
@Override
public void addCorsMappings(CorsRegistry registry){
registry.addMapping("/api/bbs/**")
.allowedOrigins("*")
.allowedMethods("*")
.allowCredentials(true);
}
1 回答
因为这是CORS的设计方式 .
然而...
您可以轻松简单'mirror back'
Access-Control-Allow-Origin
响应标头中的Origin Request标头的值 .所以你有效地发回这个响应头:
Access-Control-Allow-Origin: <value-of-Origin-request-header>
这同'global'同指定
Access-Control-Allow-Origin: *