解决Spring Security阻止Stripe请求导致的CORS问题

霞舞

发布时间：2025-10-17 09:13:01

962人浏览过

来源于php中文网

原创

解决spring security阻止stripe请求导致的cors问题

本文旨在解决Spring Boot应用集成Spring Security后，前端React应用调用Stripe支付接口时遇到的CORS错误问题。通过分析配置、代码示例和错误信息，提供详细的解决方案，帮助开发者正确配置CORS，允许跨域请求，确保Stripe支付功能正常运行。本文重点在于理解CORS配置的关键点，以及如何在Spring Security中正确应用CORS策略。

CORS（Cross-Origin Resource Sharing，跨域资源共享）是一种浏览器安全机制，用于限制网页从不同源（域、协议或端口）请求资源。当Spring Security配置不当，或者CORS配置缺失时，可能会导致跨域请求被阻止，出现类似“Cross-Origin Request Blocked”的错误。本文将针对Spring Boot应用集成Stripe支付时遇到的CORS问题，提供详细的排查和解决方案。

理解CORS配置

CORS的配置主要涉及到服务器端（Spring Boot）的响应头设置，允许特定的源进行跨域请求。常见的CORS配置包括：

Access-Control-Allow-Origin: 指定允许访问资源的域。可以使用具体的域名，也可以使用*表示允许所有域。*生产环境中不建议使用``，因为它存在安全风险。**
Access-Control-Allow-Methods: 指定允许的HTTP方法，如GET、POST、PUT、DELETE等。
Access-Control-Allow-Headers: 指定允许的请求头。
Access-Control-Allow-Credentials: 指定是否允许发送cookie。

Spring Boot中的CORS配置方式

Spring Boot提供了多种方式来配置CORS，包括：

@CrossOrigin注解: 可以直接在Controller的方法或类上使用@CrossOrigin注解，配置CORS策略。
WebMvcConfigurer接口: 通过实现WebMvcConfigurer接口，重写addCorsMappings方法，进行全局CORS配置。
CorsFilter: 创建一个CorsFilter，并将其注册到Spring容器中。

解决Stripe请求CORS问题的步骤

确认CORS配置生效:

首先，确保你的CORS配置已经生效。检查CorsConfiguration.java中的配置是否正确加载。如果使用了@CrossOrigin注解，确保注解的位置正确。

@Configuration
public class CorsConfiguration {
    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurer() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**")
                        .allowedMethods("HEAD", "GET", "PUT", "POST", "DELETE", "PATCH","OPTIONS")
                        .allowedOrigins("https://m.stripe.com/6","https://r.stripe.com/0","http://localhost:3000")
                        .exposedHeaders("*")
                        .allowedHeaders("*")
                        .allowCredentials(true); // 允许发送cookie
            }
        };
    }
}

注意: allowCredentials(true) 需要与前端的 withCredentials: true 相对应，否则CORS请求会被拒绝。

检查Spring Security配置:

Spring Security的配置可能会覆盖或影响CORS配置。确保在Spring Security的配置中允许CORS请求。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/clients/authentication/**", "/api/repas/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("http://localhost:3000", "https://m.stripe.com/6","https://r.stripe.com/0")); // 允许的源
        configuration.setAllowedMethods(Arrays.asList("GET","POST", "PUT", "DELETE", "OPTIONS")); // 允许的方法
        configuration.setAllowedHeaders(Arrays.asList("Authorization", "Cache-Control", "Content-Type")); // 允许的头
        configuration.setAllowCredentials(true); // 允许发送cookie
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

关键点:

使用http.cors()启用CORS支持。
创建一个CorsConfigurationSource Bean，配置允许的源、方法和头。
将CorsConfigurationSource注册到UrlBasedCorsConfigurationSource中，并指定拦截的路径。

前端代码检查:

PPT.AI
AI PPT制作工具

下载

前端代码也需要进行相应的配置，确保跨域请求能够正确发送。
- axios配置:
```
import axios from 'axios';

const instance = axios.create({
    baseURL: 'http://localhost:8080', // 你的API地址
    withCredentials: true, // 允许发送cookie
    headers: {
        'Content-Type': 'application/json',
    }
});

export default instance;
```
  注意: withCredentials: true 必须与后端 allowCredentials(true) 相对应。
- Stripe请求:
  
  确保Stripe请求的发送方式正确。通常，Stripe的SDK会处理CORS问题，但如果手动发送请求，需要确保配置正确。
忽略 r.stripe.com 错误

根据Stripe官方的说法，r.stripe.com 域名主要用于追踪指标，与支付功能本身无关。因此，如果仅仅是 r.stripe.com 出现 CORS 错误，可以忽略它，不会影响支付流程。

总结

解决Spring Security阻止Stripe请求导致的CORS问题，需要从服务器端和客户端两个方面入手。

服务器端: 正确配置CORS，允许前端应用的源进行跨域请求。确保Spring Security的配置不会覆盖CORS配置。
客户端: 使用正确的请求方式，配置withCredentials，并处理CORS相关的错误。

通过以上步骤，可以解决大部分Stripe请求的CORS问题，确保支付功能正常运行。如果问题仍然存在，需要进一步检查网络配置和浏览器设置，确保没有其他因素干扰跨域请求。

如何在 React 应用初始化时调用后端接口并渲染响应模态框

如何正确部署全栈 Web 应用：前后端分离与端口规划指南

Jsoup 无法获取 span 元素文本内容的常见原因与解决方案

React Native 新架构下 Haste 包模块解析失败问题的解决方案

Spring MVC 架构在前后端分离场景下依然成立

相关专题

spring框架介绍

本专题整合了spring框架相关内容，想了解更多详细内容，请阅读专题下面的文章。

160

2025.08.06

Java Spring Security 与认证授权

本专题系统讲解 Java Spring Security 框架在认证与授权中的应用，涵盖用户身份验证、权限控制、JWT与OAuth2实现、跨站请求伪造（CSRF）防护、会话管理与安全漏洞防范。通过实际项目案例，帮助学习者掌握如何使用 Spring Security 实现高安全性认证与授权机制，提升 Web 应用的安全性与用户数据保护。

2026.01.26

spring boot框架优点

spring boot框架的优点有简化配置、快速开发、内嵌服务器、微服务支持、自动化测试和生态系统支持。本专题为大家提供spring boot相关的文章、下载、课程内容，供大家免费下载体验。

139

2023.09.05

spring框架有哪些

spring框架有Spring Core、Spring MVC、Spring Data、Spring Security、Spring AOP和Spring Boot。详细介绍：1、Spring Core，通过将对象的创建和依赖关系的管理交给容器来实现，从而降低了组件之间的耦合度；2、Spring MVC，提供基于模型-视图-控制器的架构，用于开发灵活和可扩展的Web应用程序等。

408

2023.10.12

Java Spring Boot开发

本专题围绕 Java 主流开发框架 Spring Boot 展开，系统讲解依赖注入、配置管理、数据访问、RESTful API、微服务架构与安全认证等核心知识，并通过电商平台、博客系统与企业管理系统等项目实战，帮助学员掌握使用 Spring Boot 快速开发高效、稳定的企业级应用。

2025.08.19

Java Spring Boot 4更新教程_Java Spring Boot 4有哪些新特性

Spring Boot 是一个基于 Spring 框架的 Java 开发框架，它通过约定优于配置的原则，大幅简化了 Spring 应用的初始搭建、配置和开发过程，让开发者可以快速构建独立的、生产级别的 Spring 应用，无需繁琐的样板配置，通常集成嵌入式服务器（如 Tomcat），提供“开箱即用”的体验，是构建微服务和 Web 应用的流行工具。

150

2025.12.22

Java Spring Boot 微服务实战

本专题深入讲解 Java Spring Boot 在微服务架构中的应用，内容涵盖服务注册与发现、REST API开发、配置中心、负载均衡、熔断与限流、日志与监控。通过实际项目案例（如电商订单系统），帮助开发者掌握从单体应用迁移到高可用微服务系统的完整流程与实战能力。

271

2025.12.24

Spring Boot企业级开发与MyBatis Plus实战

本专题面向 Java 后端开发者，系统讲解如何基于 Spring Boot 与 MyBatis Plus 构建高效、规范的企业级应用。内容涵盖项目架构设计、数据访问层封装、通用 CRUD 实现、分页与条件查询、代码生成器以及常见性能优化方案。通过完整实战案例，帮助开发者提升后端开发效率，减少重复代码，快速交付稳定可维护的业务系统。

2026.02.11