Spring Security - 跨域资源共享(CORS)

于 2024-09-27 14:11:16 发布
阅读量392 收藏 14
点赞数 18
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Flying_Fish_roe/article/details/142592230
版权

Spring Security - 跨域资源共享(CORS)详解

1. 什么是 CORS?

CORS(Cross-Origin Resource Sharing,跨域资源共享) 是一种 W3C 标准,用于解决浏览器中的跨域请求问题。通常情况下,浏览器安全策略限制了 Web 应用只能从同一个域名(origin)请求资源,而不能访问不同域名、端口或协议的资源。这是出于安全考虑,防止恶意网站未经授权读取用户数据。

然而,在实际的 Web 开发中,前端与后端分离架构越来越普遍,前端应用和后端 API 通常部署在不同的域名或端口上,这种场景下,跨域请求变得不可避免。CORS 允许服务器通过设置 HTTP 头来告诉浏览器,哪些跨域请求是被允许的。

2. CORS 基本原理

CORS 的工作原理依赖于 HTTP 请求中的一些特殊头字段。典型的跨域请求包括两种类型:

  1. 简单请求:只涉及 GET、HEAD、POST 方法,且不包含自定义的请求头。
  2. 预检请求(Preflight Request):如果请求方法不是简单方法(例如 PUT、DELETE),或包含自定义头字段,浏览器会先发送一个 OPTIONS 请求进行预检,询问服务器是否允许该跨域请求。

浏览器在处理跨域请求时,主要会涉及以下几个 HTTP 头字段:

  • Access-Control-Allow-Origin:指定允许哪些源发起请求。
  • Access-Control-Allow-Methods:指定允许的 HTTP 方法,例如 GET、POST、PUT 等。
  • Access-Control-Allow-Headers:允许客户端发送的请求头。
  • Access-Control-Allow-Credentials:是否允许发送认证信息(如 Cookies)。
  • Access-Control-Max-Age:指定预检请求的结果在客户端缓存的时间。
3. Spring Security 与 CORS

Spring Security 的默认行为是拒绝所有跨域请求,因为它专注于安全保护。为了允许跨域请求,需要在 Spring Security 中配置 CORS 策略。

通常,CORS 配置分为两个部分:

  1. Spring MVC 层:通过 @CrossOrigin 注解或全局配置来设置允许的跨域规则。
  2. Spring Security 层:通过在 HttpSecurity 中启用 CORS 支持。
4. Spring MVC 层的 CORS 配置

在 Spring 框架中,@CrossOrigin 注解可以用于控制特定控制器或方法的跨域请求。下面是一个简单的示例:

@RestController
@RequestMapping("/api")
public class MyController {

    @CrossOrigin(origins = "http://example.com")  // 允许来自 http://example.com 的跨域请求
    @GetMapping("/data")
    public ResponseEntity<String> getData() {
        return ResponseEntity.ok("Data from server");
    }
}

在这个例子中,@CrossOrigin 注解指定了只允许 http://example.com 这个域的请求访问 /api/data 接口。如果需要允许多个域名,可以指定多个 URL:

@CrossOrigin(origins = {"http://example.com", "http://another.com"})

除了在控制器或方法上配置 CORS,还可以通过全局配置来统一管理 CORS 规则。这通常在 WebMvcConfigurer 中实现:

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
            .allowedOrigins("http://example.com")  // 允许的跨域源
            .allowedMethods("GET", "POST", "PUT", "DELETE")  // 允许的方法
            .allowedHeaders("*")  // 允许的请求头
            .allowCredentials(true)  // 是否允许发送 Cookie
            .maxAge(3600);  // 预检请求的缓存时间
    }
}

此配置全局应用于所有的 URL 模式,控制哪些跨域请求是被允许的。

5. 在 Spring Security 中启用 CORS 支持

当我们在 Spring MVC 中配置了 CORS,仍然需要在 Spring Security 中启用 CORS 支持,否则 Spring Security 的默认安全机制会拒绝这些跨域请求。

要在 Spring Security 中启用 CORS,只需要在 HttpSecurity 配置中调用 cors() 方法:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .cors()  // 启用 CORS 支持
            .and()
            .csrf().disable()  // 如果使用的是无状态的 REST API,通常会禁用 CSRF
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated();
    }

    @Bean
    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("http://example.com"));
        configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));
        configuration.setAllowedHeaders(Arrays.asList("Authorization", "Cache-Control", "Content-Type"));
        configuration.setAllowCredentials(true);
        configuration.setMaxAge(3600L);  // 预检请求结果缓存 1 小时

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}

在这个配置中,我们通过 cors() 方法启用了 Spring Security 对 CORS 请求的支持,并且通过 CorsConfigurationSource 自定义了允许的跨域规则。

5.1 Spring Security 中的 CORS 与 CSRF

在 RESTful API 开发中,通常会禁用 CSRF 保护,因为它主要用于防止跨站请求伪造攻击,这类攻击对无状态的 REST API 并没有太大影响。因此,在大多数情况下,开发者会同时禁用 CSRF 和启用 CORS 支持。

http
    .cors()
    .and()
    .csrf().disable();  // 禁用 CSRF 防护

禁用 CSRF 不影响 CORS 的处理,反而简化了 REST API 的请求逻辑,尤其是对于跨域请求来说。

6. 处理 CORS 的常见问题
6.1 预检请求未通过

当浏览器发送预检请求(OPTIONS 请求)时,服务器需要正确响应带有 Access-Control-Allow-OriginAccess-Control-Allow-Methods 等头信息。如果没有正确配置,浏览器会阻止后续的跨域请求。

可以通过 Spring Security 的 CorsConfigurationSource 正确配置预检请求的响应:

configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE"));

确保服务器返回正确的 Access-Control-Allow-Methods

6.2 自定义头信息问题

当前端应用发送包含自定义头(例如 Authorization)的跨域请求时,需要明确允许这些头信息:

configuration.setAllowedHeaders(Arrays.asList("Authorization", "Cache-Control", "Content-Type"));

如果服务器不允许这些自定义头信息,浏览器将不会继续请求。

6.3 Cookie 的跨域问题

如果需要在跨域请求中发送 Cookie,必须在 CORS 配置中允许 credentials,同时前端的请求也需要设置 withCredentialstrue

  • 后端:
configuration.setAllowCredentials(true);
  • 前端(例如使用 Axios):
axios.defaults.withCredentials = true;

此外,Access-Control-Allow-Origin 不能设置为 *,而必须明确指定允许的域名。

7. 总结

Spring Security 对 CORS 的处理提供了非常灵活且强大的支持,允许开发者通过多种方式来配置跨域访问控制。典型的 CORS 处理包括在 Spring MVC 中进行全局或局部配置,并在 Spring Security 中启用对跨域请求的支持。

在实践中,确保前后端跨域请求的正常工作,通常需要结合正确的 CORS 规则设置、Cookie 管理以及请求头的处理。通过合理的配置,可以让跨域请求既安全又高效。

Flying_Fish_Xuan
关注
09 SpringSecurity-跨域CORS
02-17 5164
一、认识跨域 很多人误认为资源跨域时无法请求,通常情况下时可以正常发起的(部分浏览器存在特例),后端也进行了正常处理,只是在返回时被浏览器拦截,导致响应内容无法使用。可以论证这一点的著名案例就是CSRF跨站攻击。 CSRF跨站攻击 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。通常来说就是攻击者盗用你的身份,以你的名义发送恶意请求。 注意这是真实的攻击手段: 举
【安全漏洞】SpringBoot + SpringSecurity CORS跨域资源共享配置
weixin_42925623的博客
09-05 1713
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3617
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
Spring全家桶-Spring Security跨域CORS与防护
HQ DevJ的专栏
05-29 1165
Spring全家桶-Spring Security跨域CORS Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security跨域CORS前言一、跨域
SpringSecurity-2.7中跨域问题
coder-itl
01-02 785
【代码】SpringSecurity-2.7中跨域问题。
Spring Boot Security跨域访问 cors
热门推荐
Fouy_风度玉门。
09-28 1万+
文章目录未使用Security 的Boot 项目使用Security 的情况使用Security开启允许iframe嵌套 使用Spring Security 在Boot 项目中,实现前后端分离的跨域访问,只需要简单的配置即可。 未使用Security 的Boot 项目 在未使用Spring Security 的Boot 项目中,只需要在 Application.java 中添加如下代码即可 @Be...
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3923
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
SpringSecurity跨域
Littewood的博客
07-24 5988
SpringSecurity跨域解决
Spring Boot如何实现跨域资源共享CORS)?
学Java,找哪吒
06-26 1111
使用@CrossOrigin注解:可以在控制器类或方法上添加@CrossOrigin注解来允许特定的跨域请求。这个注解支持指定允许的源、方法、头部等信息。通过配置文件:在application.properties或application.yml中添加全局的CORS配置,以允许所有域的跨域请求或者限制只允许特定的域名进行跨域请求。自定义CorsFilter:创建一个CorsFilter类,实现Filter接口,并在doFilter方法中添加CORS相关的响应头。
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
在这个项目中,`spring-security-ng-cors-master` 文件夹可能包含了以下内容: 1. `src/main/java`: 存放项目的 Java 源代码,包括 Spring Security 配置类和其他相关服务。 2. `src/main/resources`: 包含配置文件...
spring-boot-jwt-cors:Spring REST,JWT-身份验证和授权,CORS
05-16
标题 "spring-boot-jwt-cors" 提到的是一个基于Spring Boot的应用程序,它集成了JWT(JSON Web Token)用于身份验证和授权,并处理了CORS(跨源资源共享)问题。这个项目展示了如何在Spring RESTful服务中实现安全的...
Spring Security4跨域资源共享(CORS)配置指南
## 1.2 什么是跨域资源共享(CORS) ## 1.3 CORS在Web应用中的重要性 ## 2. CORS原理解析 同源策略是浏览器的一项安全策略,它限制了一个页面中加载其他源的资源。同源策略要求两个 URL 的协议、主机和端口必须完全...
Spring Security系列】跨域CORS
qq_28248897的博客
07-16 986
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 1.认识跨域 很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的跨域成为
springboot注册和注入组件方式概览
CamphorBlossom的博客
09-21 315
依赖:组件的依赖关系,如 NewsController 依赖 NewsServices。注入:通过setter方法、构造器、等方式自动的注入(赋值)控制:资源的控制权(资源的创建、获取、销毁等)xxxAware(标记接口,让调用者获取到Spring容器中的其他资源引用)反转:和传统的方式不一样了。理解单例,获取组件的方式(通过bean的类型,名称获取)理解setter方法注入,构造器注入。Conditional 派生注解。理解MVC分层模型对应注解。
Spring Cloud 教程(二) | 搭建SpringCloudAlibaba
最新发布
qq_20236937的博客
09-26 234
搭建SpringCloudAlibaba
Spring Data Rest 远程命令执⾏命令(CVE-2017-8046) 靶场攻略
shw_yzh的博客
09-23 285
靶场环境靶场环境。
springboot+satoken实现刷新token(值变化)
todoitbo的博客
09-26 467
satoken实现刷新token
springboot acuturator
pscool的博客
09-21 272
基础使用步骤 - 系统学习。
spring-security配置跨域
08-31
Spring Security中配置跨域有多种方法。一种常见的方法是使用@CrossOrigin注解或重写addCorsMappings方法来配置跨域,但是当项目中引入了Spring Security依赖后,这种配置方式可能会失效。 为了解决这个问题,可以使用Spring Security提供的更专业的跨域方案。首先,需要创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法。在configure方法中,可以通过调用HttpSecurity对象的cors方法来启用跨域配置。 在cors方法中,可以通过CorsConfigurationSource对象的configurationSource方法来配置具体的跨域设置。可以使用CorsConfiguration对象来设置允许的请求头、请求方法和请求来源。此外,还可以设置预检请求的缓存时间。最后,需要将CorsConfiguration对象注册到UrlBasedCorsConfigurationSource对象中。 下面是一个示例的配置类的代码: ```java @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .mvcMatchers("/hello1").permitAll() .anyRequest().authenticated() .and() .formLogin() .and() .cors() // 跨域配置 .configurationSource(configurationSource()); } CorsConfigurationSource configurationSource() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.setAllowedHeaders(Collections.singletonList("*")); corsConfiguration.setAllowedMethods(Collections.singletonList("*")); corsConfiguration.setAllowedOrigins(Collections.singletonList("*")); corsConfiguration.setMaxAge(3600L); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", corsConfiguration); return source; } } ``` 通过以上配置,Spring Security会自动应用跨域配置,并且保持其他安全配置不受影响。这种方式可以确保跨域配置在Spring Security过滤器之前生效,避免了跨域配置失效的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Spring Security(七) ——跨域配置](https://blog.csdn.net/tongkongyu/article/details/125982927)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值