보안상의 이유로, 스프링부트 2.4 버전부터는
addAllowedOrigin("*")과 setAllowCredentials(true)를 함께 사용할 수 없도록 변경되었다.
@Bean
public CorsConfigurationSource corsFilter() {
//..
CorsConfiguration corsConfiguration = new CorsConfiguration();
corsConfiguration.setAllowCredentials(true);
// corsConfiguration.addAllowedOrigin("*");
corsConfiguration.addAllowedOriginPattern("*");
corsConfiguration.addAllowedHeader("*");
corsConfiguration.addAllowedMethod("*");
//..
대신에, addAllowedOriginPattern() 메서드를 사용하여 정규식 패턴을 통해 허용할 Origin을 설정할 수 있다.
이 메서드를 사용하면 특정 도메인 패턴에 일치하는 모든 Origin을 허용할 수 있다고 한다.
따라서, setAllowCredentials(true)와 함께 addAllowedOriginPattern() 메서드를 사용하여 CORS(Cross-Origin Resource Sharing) 정책을 구성하면된다.
take the bull by the horns