记录网关zuul处理跨域/XSS问题

最新推荐文章于 2024-03-23 18:18:18 发布
最新推荐文章于 2024-03-23 18:18:18 发布
阅读量806 收藏
点赞数
文章标签: 前端 javascript vue.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C18298182575/article/details/130133054
版权
文章介绍了Zuul作为微服务网关如何处理跨域问题和防止XSS攻击。通过定义PRE过滤器检查请求源,允许特定域名,以及POST过滤器记录请求处理时间。同时,文章详细展示了ZuulFilter的实现逻辑,包括判断请求来源、拦截非法请求和记录日志。
摘要由CSDN通过智能技术生成

一,疑问

1.之前遇到跨域问题是在NG中解决的,添加跨域请求头和域名配置。那么与网关处理跨域问题关系是什么,NG处理了,为什么还需要在网关中处理

二,前置知识

zuul概念与原理

zuul 的概念和原理 - 知乎

Zuul工作原理_zuul原理_吴声子夜歌的博客-CSDN博客

梳理几个基本概念

zuul的工作原理
1.过滤器机制
zuul的核心是一系列的filters, 其作用可以类比Servlet框架的Filter,或者AOP。
zuul把Request route到 用户处理逻辑 的过程中,这些filter参与一些过滤处理,比如Authentication,Load Shedding等

2.过滤器机制过滤器类型
Zuul大部分功能都是通过过滤器来实现的。Zuul中定义了四种标准过滤器类型,这些过滤器类型对应于请求的典型生命周期。
(1) PRE:这种过滤器在请求被路由之前调用。我们可利用这种过滤器实现身份验证、在集群中选择请求的微服务、记录调试信息等。
(2) ROUTING:这种过滤器将请求路由到微服务。这种过滤器用于构建发送给微服务的请求,并使用Apache HttpClient或Netfilx Ribbon请求微服务。
(3) POST:这种过滤器在路由到微服务以后执行。这种过滤器可用来为响应添加标准的HTTP Header、收集统计信息和指标、将响应从微服务发送给客户端等。
(4) ERROR:在其他阶段发生错误时执行该过滤器

总结:通过一个个过滤器实现不同的业务逻辑,且不同过滤器类型按照顺序执行对应的业务

三,此文网关做了那几件事

1.PRE,前置需要处理的逻辑,跨域/XSS处理

2.POST,微服务处理之后记录处理时间等日志信息

具体处理逻辑

1.跨域问题重现,前端报错,如下包含了请求源Origin信息

 

 2. ZuulFilter1跨域/xss攻击代码

Component
@RefreshScope
public class TimeCostPreFilter extends ZuulFilter {
    public static final String START_TIME_KEY = "start_time";
    public static final String ZUUL_REQUEST_URL_KEY = "zuul_request_start_time";

    private static final Logger logger = LoggerFactory.getLogger(TimeCostPreFilter.class);

    @Value("${com.gateway.xss.check:true}")
    private Boolean xssCheck;

    @Value("${com.gateway.xss.url.filter:uploadFile,uploadImage}")
    private String urlFilter;

    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
    }

    @Override
    public int filterOrder() {
        return 0;
    }

    /**
     * 判断是否要拦截的逻辑
     */
    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() {

        long startTime = System.currentTimeMillis();
        RequestContext currentContext = RequestContext.getCurrentContext();
        HttpServletRequest request = currentContext.getRequest();

        Enumeration<String> headerNames = request.getHeaderNames();
        if (headerNames != null) {
            while (headerNames.hasMoreElements()) {
                String nextElement = headerNames.nextElement();
                if (nextElement.equalsIgnoreCase("origin") && request.getHeader(nextElement) != null) {
                    String str = request.getHeader(nextElement).toLowerCase();
                    String pattern = "^(http|https)://(.*\\.skcloud\\.cn|.*\\.skcloud\\.com|.*\\.sk\\.com|localhost:?[0-9]*|api.rrx.cn|c2bt4.skcloud.com)$";

                    Pattern r = Pattern.compile(pattern);
                    Matcher m = r.matcher(str);
                    if (!m.matches()) {
                        return null;
                    }
                }
            }
        }

        StringBuffer requestUrl = request.getRequestURL();
        String url = requestUrl.toString();
        if (xssCheck) {
            if (!StringUtils.isEmpty(urlFilter)) {
                String[] urlFilterList = urlFilter.split(",");
                for (String s : urlFilterList) {
                    if (!StringUtils.isEmpty(urlFilter) && url.contains(s)) {
                        currentContext.set(ZUUL_REQUEST_URL_KEY, url);
                        currentContext.set(START_TIME_KEY, startTime);
                        return null;
                    }
                }
            }
            try {
                Map<String, String[]> map = request.getParameterMap();
                if (!(Objects.isNull(map) || map.isEmpty())) {
                    for (Map.Entry<String, String[]> entry : map.entrySet()) {
                        String[] value = entry.getValue();
                        if (extracted(currentContext, value[0])) {
                            return null;
                        }
                    }
                }
                InputStream in = request.getInputStream();
                String body = StreamUtils.copyToString(in, StandardCharsets.UTF_8);
                if (!StringUtils.isEmpty(body)) {
                    if (extracted(currentContext, body)) {
                        return null;
                    }
                }
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        currentContext.set(ZUUL_REQUEST_URL_KEY, url);
        currentContext.set(START_TIME_KEY, startTime);
        return null;
    }

    private static boolean extracted(RequestContext currentContext, String body) {
        boolean b = checkXss(body);
        if (b) {
            currentContext.setSendZuulResponse(false);
            currentContext.setResponseBody("非法请求");
            currentContext.setResponseStatusCode(HttpStatus.BAD_REQUEST.value());
            return true;
        }
        return false;
    }

    public static boolean checkXss(String str) {
        if (StringUtils.isEmpty(str)) {
            return false;
        }
        boolean contains = str.contains("<");
        boolean contains1 = str.contains(">");
        boolean onclick = str.contains("onclick");
        return contains || contains1 || onclick;
    }

3. ZuulFilter2,日志记录

@Component
@RefreshScope
public class TimeCostPostFilter extends ZuulFilter {
    private static final String START_TIME_KE = "start_time";
    public static final String ZUUL_REQUEST_URL_KEY = "zuul_request_start_time";

    private static final Logger logger = LoggerFactory.getLogger(TimeCostPostFilter.class);

    @Autowired
    private GateWayRequestTimeClient gateWayRequestTimeClient;

    @Override
    public String filterType() {
        return FilterConstants.POST_TYPE;
    }

    @Override
    public int filterOrder() {
        return 0;
    }

    @Override
    public boolean shouldFilter() {
        return true;
    }

    @Override
    public Object run() {
        RequestContext currentContext = RequestContext.getCurrentContext();
        String requestUrl = (String) currentContext.get(ZUUL_REQUEST_URL_KEY);
        long startTime = (long) currentContext.get(START_TIME_KE);
        long endTime = System.currentTimeMillis();
        long resultTime = endTime - startTime;
        int responseStatusCode = currentContext.getResponseStatusCode();
        gateWayRequestTimeClient.insertLog(startTime, endTime, resultTime, requestUrl, responseStatusCode);
        return null;
    }

}

C18298182575
关注
Java Web学习总结(38)——JavaWeb网站架构设计总结
科技D人生
09-30 3588
工作也有几多年了,无论是身边遇到的还是耳间闻到的,多多少少也积攒了自己的一些经验和思考,当然,博主并没有太多接触高大上的分布式架构实践,相对比较零碎,随时补充(附带架构装逼词汇)。俗话说的好,冰冻三尺非一日之寒,滴水穿石非一日之功,罗马也不是一天就建成的,当然对于我们开发人员来说,一个好的架构也不是一蹴而就的。初始搭建开始的开始,就是各种框架一搭,然后扔到Tomcat容器中跑就是了,这时候我们的文
看spring cloud开源项目Pig的云踩坑记
weixin_34061482的博客
12-12 4384
最近看到一个有趣的开源项目pig,主要的技术点在认证授权中心,spring security oauth,zuul网关实现,Elastic-Job定时任务,趁着刚刚入门微服务,赶快写个博客分析一下。此篇文章主要用于个人备忘。如果有不对,请批评。
Zuul关于跨域问题的解决方案之一
Quaintの技术成长博客
06-28 3987
前后分离之zuul过滤器处理跨域 刚毕业的应届小白一枚 最近想要自己熟悉一下最近流行的web技术 打算用 spring cloud +vue3 +iview 搭建一个前后分离的项目玩玩 下面是项目地址: https://github.com/quaint-github/Vue-SpringCloud-CMS 有一个simple-v1.0 分支,是一个简单的项目结构demo,感兴趣的可以clone到...
Zuul网关解决跨域问题
weixin_44257023的博客
12-02 4656
Zuul服务中做如下操作 添加config 包,并创建CORS跨域配置类代码如下(有硬编码): import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.Url
SpringCloud——路由网关Zuul(包括过滤器功能)+Gateway网关(解决跨域
usa_washington的博客
06-19 814
网关Zuul
Zuul解决跨域问题
weixin_44841849的博客
04-18 575
可以用注解:在controller的方法上加@CrossOrgin() 这里用的是写一个@Configuration package van.gateway.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration;...
SpringCloud微服务网关进行XSS攻击过滤-Zuul网关
qq_44004908的博客
01-19 2347
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 通俗来说,在新增表单里,表单内容里插入一段html或者js代码,在列表渲染时就可能执行这串js代码。这就是xss攻击。
业务网关的落地实践
去哪儿网技术沙龙
02-03 426
前言 随着系统规模变大、复杂度越来越高,微服务架构渐渐成为主流。当一个单体应用被拆分成许许多多的微服务应用后,也带来了一些问题。一些与业务非强相关的功能,比如权限控制、日志输出、数据加密、熔断限流等,每个微服务应用都需要,因此存在着大量重复的代码实现。而且由于系统的迭代、人员的更替,各个微服务中这些功能的实现细节出现了较大的差异,导致维护成本变高。另一方面,原先单体应用下非常容易做的接口管理,在服务拆分后没有了一个集中管理的地方,无法统计已存在哪些接口、接口定义是什么、运行状态如何。 网关就是为了解决上述问
网站跨域的五种解决方式
javarrr的博客
04-25 589
1、什么是跨越? 一个网页向另一个不同域名/不同协议/不同端口的网页请求资源,这就是跨域跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。 2、为什么会产生跨域请求? 因为浏览器使用了同源策略 3、什么是同源策略? 同源策略是Netscape提出的一个著名的安全策略,现在所有支持JavaScript的浏览器都会使用这个策略。同源策略是浏览器最核心也最基本...
SpringAll_wuyouzhuguli.tar.gz
10-20
Spring Cloud Zuul服务网关 Spring Cloud Config统一配置管理 使用Spring Cloud Bus刷新配置 使用Spring Cloud Sleuth跟踪微服务 Spring Cloud Consul服务治理 五、Spring Boot && Dubbo教程 Spring Boot整合Dubbo&...
Zuul跨域
Leon_Jinhai_Sun的博客
09-08 576
前端是通过ajax发送请求,浏览器的ajax,是有同源策略的,如果违反了同源策略,就会产生跨域问题, Zuul作为微服务的网关,在他上面处理跨域,也是一种选择,Zuul跨域其实可以看成是Spring的跨域, Spring的跨域常用的一种方法,是在服务被调用的类或者方法上,增加@CrossOrgin注解,来声明自己支持 跨域访问,这种方式的缺点其实挺明显的,他的作用域是在类或者方法上,你看...
Zuul 跨域问题
月光秦城
05-08 1097
在springboot里,要实现跨域,需要在被调用的类或者方法上增加@CrossOrigin注解(局部设置,针对某个方法)。但是在spring cloud里,要在粒度那么小的去控制跨域,那也太繁琐了,一般我们在zuul路由里设置(全局设置),有两种方式,一种是通过增加CorsFilter过滤器,一种是通过继承ZuulFilter 1、在zuul里增加CorsFilter过滤器 @Configu...
解决zuul网关跨域问题
不积跬步,无以至千里,不积小流,无以成江海
06-24 1万+
问题发现 正常情况下,跨域是这样的: 1. 微服务配置跨域+zuul不配置=有跨域问题 2. 微服务配置+zuul配置=有跨域问题 3. 微服务不配置+zuul不配置=有跨域问题 4. 微服务不配置+zuul配置=ok 然而云环境中每个服务自己有跨域解决方案,而网关需要做最外层的跨域解决方案.如果服务已有跨域配置网关也有,会出现*多次配置问题。 Access-Control-Allo...
zuul+security跨域Cors问题解决
AzulSystems的博客
03-03 194
场景在服务后台都会出现跨域cors问题,不过一般spring解决起来比较方便,在框架+框架的基础上,问题就显得特别明显了,各种冲突,不了解源码的运行原理,解决起来也是有心无力。这里介绍的是zuul配置了跨域,在前端调用仍然会出现跨域问题。一般没有权限的接口加上cors配置就会通过跨域问题。不过在服务间调用具有权限的功能,莫名的报跨域问题。post特殊请求在解决问题时发现 post 请求也有点特殊,这里也需要处理一下。post请求分为简单请求和复杂请求。
zuul 跨域访问问题解决
热门推荐
Glory丶笨小孩
04-18 1万+
在gateway项目启动类中加入以下代码 @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); final CorsConfiguration config = new CorsCo...
网关 Spring Cloud Zuul 跨域问题,java五年经验面试题
最新发布
m0_62289824的博客
03-23 725
/这个请求头在https中会出现,但是有点问题,下面我会说//越小越排前面自定义跨域ZuulFilter因为第一种方式在https下失败后,我尝试了用zuulfilter实现cors的方式一共需要两个filiter:一个pre, 一个postPre-Filter 用来处理处理OPTIONS请求,当发现是OPTIONS请求的时候,给出跨域响应头,并且不对其进行zuul路由,直接返回成功(200), 给前端服务允许跨域@Component@Override/*
SpringCloud zuul网关常见问题解决办法
VincentGTX_huang的博客
08-22 3248
前言:今天整理一下以往的SpringCloud遇到一些常见的问题,顺手做一些笔记,记录一下自己遇到过的坑。 问题1:各服务之间请求的时候由于处于不同服务器或者不同ip的项目下,出现的跨域问题 问题2:各服务之间传递各种参数,但是通过request.setHeader传递参数,如token无法传递到下一个服务里的问题 或者其他参数想近一步传递,但是到了网关这一步缺丢...
zuul跨域
qq_34745957的博客
03-16 310
zuul跨域问题解决方案: 1.在被调用的类或方法上添加@CrossOrigin注解(不建议,在需要跨域的多个接口上分别定义,比较麻烦) 2.在zuul里添加CorsFilter过滤器(对多接口跨域统一设置) ...
19 配置Spring Cloud Zuul支持跨域
巅峰键盘侠
10-04 251
作为网关组件,Spring Cloud Zuul对于跨域的支持是必不可少的,一般有如下两种方式设置跨域: (1)在类或方法上增加@CrossOrigin注解 @RestController @RequestMapping("/goods") @CrossOrigin // 设置控制器支持跨域 public class GoodsController { @GetMapping("/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值