使用Spring Security中遇到的Preflight请求和跨域的问题

最新推荐文章于 2024-04-23 19:35:54 发布
最新推荐文章于 2024-04-23 19:35:54 发布
阅读量4k 收藏 9
点赞数 2
分类专栏: 项目 文章标签: spring security 服务器 安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32815807/article/details/78606759
版权

背景

在一个前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性。首先遇到的就是跨域问题,但是在携带jwt请求过程中出现了服务端获取不到jwt情况。

跨域问题

在开发过程中遇到CORS (跨域资源共享) 的问题,简单的在服务器端设置了允许跨域访问,但是在携带jwt请求过程中出现
这里写图片描述
因为jwt是放在request header中,忽略了在跨域处理是加上允许自己定于的header字段

@Component
public class CorsFilter implements Filter {

    Logger logger= LoggerFactory.getLogger(CorsFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        HttpServletResponse response= (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin",request.getHeader("origin"));
        response.setHeader("Access-Control-Allow-Origin","*");  //允许跨域访问的域
        response.setHeader("Access-Control-Allow-Methods","POST,GET,OPTIONS,DELETE,PUT");  //允许使用的请求方法
        response.setHeader("Access-Control-Expose-Headers","*");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with,Cache-Control,Pragma,Content-Type,Authorization");  //允许使用的请求方法
        response.setHeader("Access-Control-Allow-Credentials","true");//是否允许请求带有验证信息
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

在网上搜索提到要对OPTIONS请求进行处理返回200,但是测试并没有起到效果
这里的OPTIONS请求实际上就是preflight请求

Preflight请求

但是问题依然没有解决,出现如下
这里写图片描述
google了之后才知道preflight 请求的相关信息

在我们调用后台接口的时候,经常会发现请求了两次,其实第一次发送的就是preflight request(预检请求)。

为什么需要preflight request

我们都知道浏览器的同源策略,就是出于安全考虑,浏览器会限制从脚本发起的跨域HTTP请求,像XMLHttpRequest和Fetch都遵循同源策略。
浏览器限制跨域请求一般有两种方式:

浏览器限制发起跨域请求 跨域请求可以正常发起,但是返回的结果被浏览器拦截了
一般浏览器都是第二种方式限制跨域请求,那就是说请求已到达服务器,并有可能对数据库里的数据进行了操作,但是返回的结果被浏览器拦截了,那么我们就获取不到返回结果,这是一次失败的请求,但是可能对数据库里的数据产生了影响。

为了防止这种情况的发生,规范要求,对这种可能对服务器数据产生副作用的HTTP请求方法,浏览器必须先使用OPTIONS方法发起一个预检请求,从而获知服务器是否允许该跨域请求:如果允许,就发送带数据的真实请求;如果不允许,则阻止发送带数据的真实请求。

浏览器将CORS请求分成两类:简单请求和非简单请求。

简单请求

  1. 请求方法是以下三种方法之一
    • HEAD
    • GET
    • POST
  2. HTTP的头信息不超出以下几种字段
    • Accept
    • Accept-Language
    • Content-Language
    • Last-Event-ID
    • Content-Type:只限于三个值application/x-www-form-urlencoded、multipart/form-data、text/plain

凡是不同时满足上面两个条件,就属于非简单请求。
而浏览器对这两种请求的处理是不一样的。

非简单请求

非简单请求是那种对服务器有特殊要求的请求,比如请求方法是PUT或DELETE,或者Content-Type字段的类型是application/json。
非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为”预检”请求(preflight)

与cors相关更详细的看参考底部链接

解决方法

在我们后台用了Spring Security作为安全框架,并且没有对Preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。
处理起来也很简单,只需要在spring security配置类configure方法中增加放行preflight请求

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 由于使用的是JWT,我们这里不需要csrf
                .csrf().disable()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                // 所有 / 的所有请求 都放行
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()    //对preflight放行
                .antMatchers("/*").permitAll()
                .antMatchers("/u").denyAll()
                .antMatchers("/article/**").permitAll()
                .antMatchers("/video/**").permitAll()
                .antMatchers("/api/**").permitAll()
                .antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/**","/swagger-ui.html", "/webjars/**")
                .permitAll()
                .antMatchers("/manage/**").hasRole("ADMIN") // 需要相应的角色才能访问
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        // 禁用缓存
        http.headers().cacheControl();
        // 添加JWT filter
        http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
        //添加未授权处理
        http.exceptionHandling().authenticationEntryPoint(getAuthenticationEntryPoint());
        //权限不足处理
        http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());

    }

最终问题得到解决!

参考:
前端 | 浅谈preflight request
跨域资源共享 CORS 详解

BENULL
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security使用Preflight请求跨域问题详解
08-28
主要给大家介绍了关于Spring Security使用Preflight请求跨域问题的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
在 webflux 环境使用 Spring Security
2301_76607156的博客
04-11 1952
复制日志出现的名称:,在 idea 按两下 shift在类可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 如何自定义呢?
Spring Cloud Gateway 整合Spring Security
Be Like
05-24 7753
做了一个Spring Cloud项目,网关采用 Spring Cloud Gateway,想要用 Spring Security 进行权限校验,由于 Spring Cloud Gateway 采用 webflux ,所以平时用的 mcv 配置是无效的,本文实现了 webflu 下的登陆校验。 1. Security配置 这里先贴出配置类,方便了解大致情况。 其涉及到的三个处理器均为自定义 package com.shop.jz.gateway.security.config; import com.sh
触发HTTP preflight预检及跨域的处理方法
qq_29517595的博客
03-06 1063
触发HTTP preflight预检及跨域的处理方法
Spring Security 系列(3) —— Spring Security & Webflux
qq_38219153的博客
07-14 791
编写主启动类 开启表单登陆 表单验证登陆时 Serverlet 与 Webflux 的相关核心类的对照情况 添加 WebSecurity 的配置类 测试效果 进入登陆页面,输入 test 的用户名和密码,在登陆成功后请求 test3 可以看到被校验通过WebFlux 与 Servelet 的 OAuth2 核心类对照表 修改 Webflux 的配置 添加登陆用的 DTO 添加 OAuth2 配置类 添加 Controller 授权码模式实现 注入一个 client 用于...
Spring-securitySpringMvc使用
lz710117239的博客
06-12 5143
Spring-securityspring的校验流程,有SpringMVC配置和SpringFlux配置两种模式,关于使用方式,我们在这里说下1、SpirngMVCSecurity配置在SpirngMVCSecurity配置,我们需要有一个类继承WebSecurityConfigurerAdapter类,在里面可以配置自己需要的bean和拦截属性,更多详细介绍请看官方文档,这里只是简单...
跨域Response to preflight request doesn‘t pass access control check: It does not have HTTP ok status.
热门推荐
vevin的博客
09-23 3万+
最近后端添加自定义请求头拦截器后,前端也增加请求头后,解决过程先后出现两种跨域错误。 一、请求后台出现如下跨域问题: has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: It does not have HTTP ok status. 此问题是前端请求后台时先发送options预检请求(浏览器机制自动发送不带传参),由于设置自定义请求头拦截器,所以当option
原因:cors 请求未能成功_CORS的进阶利用
weixin_39616287的博客
11-24 275
简介主要看了Corben Leo的Advanced CORS Exploitation Techniques这篇文章,对这篇文章的一个翻译吧,收获良多,复现一下cors漏洞的进阶利用。直入正题。 CORS介绍这里就借OWASP的关于CORS的介绍。CORS stands for Cross-Origin Resource Sharing.Is an feature offering the pos...
nginx处理前后端分离跨域问题
weixin_38846160的博客
07-23 5177
在微服务,通常会使用前后端分离的方式进行开发和部署。由于前后端分开部署,属于不同的“资源”,因此前端调用后端API时可能会出现跨域问题,。这里,我们使用前后端分离的架构,使用nginx分别代理前端和后端微服务,分析和解决跨域问题。...
跨域问题Request header field token is not allowed by Access-Control-Allow-Headers in preflight response
小筱在线博客
05-23 3640
Access to XMLHttpRequest at 'http://xxxx' from origin 'http://yyyy has been blocked by CORS policy: Request header field token is not allowed by Access-Control-Allow-Headers in preflight response
CORS 跨域的 preflight 请求
廿四桥明月夜的博客
08-06 2万+
我们知道借助Access-Control-Allow-Origin响应头字段可以允许跨域 AJAX, 对于非简单请求CORS 机制跨域会首先进行 preflight(一个 OPTIONS 请求), 该请求成功后才会发送真正的请求。 这一设计旨在确保服务器CORS 标准知情,以保护不支持 CORS 的旧服务器。 Wikipedia: https://upload.wikimedia.o...
记录一下 springboot 整合 SecurityConfig后, 前端访问后端跨域的坑
ws - 兮的博客空间
08-17 2375
一、WebMvcConfigurer 添加跨域配置 注意: addExposedHeader() 一定要配置, 否则前端将获取不到响应头的 TOKEN /Authorization 参数 @Configuration public class MvcConfig implements WebMvcConfigurer { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSou
Spring boot 和Vue开发CORS跨域问题解决
12-11
跨域资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向跨源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:跨域资源...
完美解决axios跨域请求出错的问题
01-19
Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://localhost:9000’ is therefore not ...
关于python的bottle框架跨域请求报错问题的处理方法
12-25
在用python的bottle框架开发时,前端使用ajax跨域访问时,js代码老是进入不了success,而是进入了error,而返回的状态却是200。url直接在浏览器访问也是正常的,浏览器按F12后会发现下面这个错误提示 XMLHttpRequest...
pdfbox-preflight:带有pdfbox的PDFX-1a和PDFX-3预检(验证)
05-11
PDF预检 PDF预检库,用于针对X1-a和X3标准进行验证。 文献资料 该库仍在开发,请查看console项目的示例,或者稍后再回来。 特别感谢 ,因为用ruby编写的 卡拉斯软件有限公司,提供的
【linux】Bad owner or permissions on
codears的博客
04-23 150
我们查看他的权限时发现它所链接的文件权限为777。
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 457
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
1. 2XX (Success 成功状态码)
最新发布
2402_83160520的博客
04-23 186
状态码2XX表示请求被正常处理了。
Spring框架CORS怎么通过xml形式来解决跨域问题
05-24
上述代码使用Spring框架提供的CorsFilter类,并设置了允许的来源、方法、请求头、响应头等参数。其,`cors.allowed.origins`参数设置了允许的来源,`*`表示允许任何来源。 接着,将上述代码添加到web.xml...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值