CORS v praxi: Prečo je blokovaný prístup k vašej REST službe a ako to vyriešiť
1. Základné vysvetlenie CORS (Cross-Origin Resource Sharing)
CORS je bezpečnostný mechanizmus v prehliadačoch, ktorý zabraňuje webovým aplikáciám robiť požiadavky na iný server, než z ktorého boli načítané. Ak sa frontend (napr. Angular) pokúsi zavolať API z iného pôvodu (origin), prehliadač požiadavku zablokuje – ak API neodpovie s povolením.
Príklad: Vaše Angular UI beží na http://localhost:4200, ale REST API na http://localhost:8080. Ide o tzv. cross-origin request, ktorý musí byť schválený cez CORS hlavičky.
2. Nastavenie hlavičiek Access-Control-Allow-* v Java EE kontejnere
Riešením je odpovedať na požiadavku správnymi CORS hlavičkami, napríklad:
Access-Control-Allow-Origin: http://localhost:4200 Access-Control-Allow-Methods: GET, POST, PUT, DELETE Access-Control-Allow-Headers: Content-Type
V Java EE kontejnere môžete nastaviť CORS pomocou filtra:
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext request, ContainerResponseContext response) {
response.getHeaders().add("Access-Control-Allow-Origin", "*");
response.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT, OPTIONS");
response.getHeaders().add("Access-Control-Allow-Headers", "Content-Type, Authorization");
}
}
Pre väčšiu bezpečnosť namiesto "*" použite konkrétny pôvod.
3. Bezpečnostné obmedzenia: Kedy je lepšie zvoliť iné riešenie ako CORS
Aj keď je CORS štandardný spôsob, niekedy je lepšie použiť:
- Reverse proxy (napr. NGINX), ktoré spojí frontend a backend pod jednou doménou
- Server Side Rendering (SSR), kde sa API volá zo servera, nie z prehliadača
- API Gateway s centralizovaným routingom
CORS by mal byť dočasné riešenie pri vývoji, nie produkčné obchádzanie politiky pôvodu.
4. Riešenie bežných chýb (OPTIONS request, preflight, credentials)
Pri požiadavkách s hlavičkami (napr. Authorization) prehliadač najprv odošle tzv. OPTIONS preflight request. Ak vaša služba na túto požiadavku neodpovie správne, hlavný request bude zablokovaný.
Najčastejšie chyby:
Access-Control-Allow-Origin missing– chyba hlavičkyMethod OPTIONS not allowed– backend neimplementuje OPTIONS metóduCredentials not allowed– ak používatewithCredentials, hlavička nesmie byť*
Pridajte OPTIONS handler alebo použite framework, ktorý ho podporuje (napr. Jersey, Spring Boot).
5. Príklad konfigurácie v Tomcat, Spring Boot a iných servlet kontajneroch
Tomcat: môžete pridať CORS filter do web.xml alebo ako servlet filter v kóde.
Spring Boot:
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurer() {
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/api/**")
.allowedOrigins("http://localhost:4200")
.allowedMethods("GET", "POST", "PUT", "DELETE");
}
};
}
Jersey: použite ContainerResponseFilter (ako vyššie).
Chcete sa naučiť, ako správne nastaviť CORS a REST API v praxi?
Všetky tieto kroky si môžete osvojiť v kurze Java REST služby s Hibernate, kde vytvoríte kompletnú REST službu, pripojíte ju na databázu a zabezpečíte komunikáciu s frontendom v Angulari.
Ako začať programovať?
Úvod do programovania pre každého bez prechádzajúcich znalostí.
Stiahnite si náš ebook teraz výnimočne zdarma!!!
Viac informacií preberáme na kurze:
Kurz JAVAEEREST - Java REST - RESTful Web Services s Hibernate
Súvisiace články:
- Top chyby v Jave: Poznáte ich všetky a viete ich riešiť?
- Prečo využívať UML? Od odhaľovania požiadaviek až po nasadenie do produkcie
- Prvá RESTová služba v Jave: Krok za krokom s Maven, Tomcat a Hibernate
- Prečo využívať UML? Od odhaľovania požiadaviek až po nasadenie do produkcie
- Use-case diagram: Najlepší spôsob, ako jasne porozumieť užívateľským požiadavkám
- MDD v praxi: Prečo sa oplatí stavať na modeloch a generovať kód
- Sekvenčný diagram: Krok za krokom k prehľadnej komunikácii v systéme