springboot2.x Spring Security Vue-resource跨域问题解决

最新推荐文章于 2023-05-19 17:31:45 发布
最新推荐文章于 2023-05-19 17:31:45 发布
阅读量1k 收藏 2
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Keith003/article/details/104221174
版权

原因:最近在将一个项目修改为前后端分离中,前端使用Vue 开发碰到跨域问题,这里记录一下。

服务器端修改

1、在配置类中设置 CorsFilter,新建CorsConfig

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@Configuration
public class CorsConfig{

	@Bean
	public CorsFilter corsFilter() {
		final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
		final CorsConfiguration config = new CorsConfiguration();
		// 允许cookies跨域
		config.setAllowCredentials(true);
		// 允许向该服务器提交请求的URI,*表示全部允许。。这里尽量限制来源域,比如http://xxxx:8080
		// ,以降低安全风险。。
		config.addAllowedOrigin("*");
		// 允许访问的头信息,*表示全部
		config.addAllowedHeader("*");
		// 预检请求的缓存时间(秒),即在这个时间段里,对于相同的跨域请求不会再预检了
		config.setMaxAge(18000L);
		// 允许提交请求的方法,*表示全部允许,也可以单独设置GET、PUT等
		config.addAllowedMethod("*");

		/*
		 * config.addAllowedMethod("HEAD"); config.addAllowedMethod("GET");//
		 * 允许Get的请求方法 config.addAllowedMethod("PUT");
		 * config.addAllowedMethod("POST"); config.addAllowedMethod("DELETE");
		 * config.addAllowedMethod("PATCH");
		 */
		source.registerCorsConfiguration("/**", config);
		return new CorsFilter(source);
	}
    
}

2、修改 Spring Security配置,加上cors()来开启跨域以及requestMatchers(CorsUtils::isPreFlightRequest).permitAll()来处理跨域请求中的preflight请求。

	//开启跨域 cors()
	http.cors().
        and().csrf().disable().
        authorizeRequests().
        //处理跨域请求中的Preflight请求
        requestMatchers(CorsUtils::isPreFlightRequest).permitAll()

注:前两步服务器端就已经开启跨域访问了,但是在实际测试中发现,前端访问session一直会发生变化,翻了大量文章后发现spring-session 2.x 中 Cookie里面居然引入了SameSite,他默认值是 Lax。
  SameSite Cookie 是用来防止CSRF攻击,它有两个值:Strict、Lax
SameSite = Strict:
  意为严格模式,表明这个cookie在任何情况下都不可能作为第三方cookie;
SameSite = Lax:
  意为宽松模式,在get请求是可以作为第三方cookie,但是不能携带cookie进行跨域post访问(这就很蛋疼了,我们那个校验接口就是POST请求);
总结:
  前端请求到后台,每次session都不一样,每次都是新的会话,导致获取不到用户信息,添加配置取消仅限同一站点设置。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.session.web.http.CookieSerializer;
import org.springframework.session.web.http.DefaultCookieSerializer;

@Configuration
public class SpringSessionConfig {

	@Bean
    public CookieSerializer httpSessionIdResolver() {
        DefaultCookieSerializer cookieSerializer = new DefaultCookieSerializer();
        // 取消仅限同一站点设置
        cookieSerializer.setSameSite(null);
        return cookieSerializer;
    }
}
前端修改

Vue在公共js中添加统一配置

使用Vue.resource发送请求时配置如下:
Vue.http.options.xhr = { withCredentials: true };
Vue.http.interceptors.push((request, next) => {
	request.credentials = true
	next()
})

其他工具配置,可以参考如下配置,未测试;

使用Vue.axios发送请求时配置如下:
axios.defaults.withCredentials = true;

jquery请求带上  xhrFields: {withCredentials: true}, crossDomain: true;
$.ajax({
    type: "post",
    url: "",
    xhrFields: {withCredentials: true},
    crossDomain: true,
    data: {username:$("#username").val()},
    dataType: "json",
    success: function(data){ }
});

参考:
https://www.cnblogs.com/zimublog/p/10786110.html
https://blog.csdn.net/qq_17555933/article/details/92017890
https://www.cnblogs.com/yuarvin/p/10923280.html

Keith003
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringBoot 优雅配置跨域多种方式及Spring Security跨域访问配置的坑
地推日记
08-28 709
前言 最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到跨域,但我怎么配置跨域也没有生效,这里有一个坑,在使用Spring Security时候单独配置,SpringBoot 跨越还不行,还需要配置Security 跨域才行。 什么是跨域 跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问 在 HTML 中,<a>, <form>, <img>, <scri
vue-resource 解决跨域问题
小鹅鹅的博客
03-28 1万+
vuevue-resource 跨域问题解决方法一:在vue项目下的 config/index.js 文件里面配置代理proxyTable:var path = require('path')module.exports = { build: { env: require('./prod.env'), index: path.resolve(__dirname, '../d
关于vue-resource在dev环境下跨域问题解决方法
weixin_33841503的博客
07-07 127
跨域问题 相信跨域问题是每个前端在ajax请求中都会遇到的问题,因为浏览器的同源策略的限制,所以ajax是不支持跨域的,当然当后台在没有完成搭建的时候,这时候我们需要使用到模拟数据的时候,这时候很多的api就会出现跨域问题;在vue-resource中当然这个问题也不例外;如下 所以在此我也就整理出了相应的解决方法. 解决方法 ...
vue-resource中的jsonp跨域请求
ZZY1078689276的专栏
11-03 4075
文章目录jsonp的用法jsonp跨域原理示例源码运行结果分析 jsonp的用法   jsonp请求主要是用来解决ajax跨域请求问题,使用jsonp实现跨域首先要保证服务器api支持jsonp请求的格式。   写法格式: this.$http.jsonp('url',[可选参数,使用{}传参]).then(成功回调函数,失败回调函数); jsonp跨域原理   由于当前页面所在的域名为http...
vue-resource ajax跨域,基于Vue-resource jsonp跨域问题解决方法_婳祎_前端开发者
weixin_39702559的博客
08-05 148
最近在学习关于什么是jsonp,以及为什么要用jsonp我就不多说了,不明白的同学自行百度一下。我们先来说一下这里我以json数据为例,首先我们通过 $.get可以直接得到一个我们想要的对象,但是用 jsonp 就会出现报错代码如下,$.ajax({url:"http://192.168.8.59/weixinvip/VIP/ERP/Home/api.ashx?a=getwxativity&amp...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
综上所述,解决Vue+Spring Boot跨域和Session失效问题的关键在于配置CORS策略以允许携带Cookie的跨域请求,并确保Session配置正确。同时,考虑采用Token认证机制,如JWT,以实现更灵活的认证和授权管理。
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
在这个名为 "spring-security-ng-cors" 的项目中,我们将探讨如何使用 `spring-security-csrf-token-interceptor` 解决CORS问题,以便在前后端分离的应用架构中实现跨域安全访问。 CORS 是一种允许服务器放宽同源...
Spring Boot+Vue+Spring Security OAuth2的前后端分离项目实现研究
icarusliu的专栏
05-09 1万+
业余在开发一个Spring Boot+Vue+Spring Security OAuth2的一个前后端分离项目,其中遇到不少如跨域、OPTIONS请求处理、PreAuthorize注解无效、Token失效处理等问题,记录如下。 在此项目中,资源服务与授权服务在同一应用中,使用端口8081;前端应用使用端口8080。前端使用axios进行ajax调用。 关于Spring Security OAuth...
Spring Boot 2.X优雅的解决跨域问题
08-26
主要给大家介绍了关于Spring Boot 2.X如何优雅的解决跨域问题的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Spring Boot 2.X具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
spring security 跨域
weixin_46453221的博客
08-20 227
1.全局配置 1.点击参考我的spring boot跨域全局配置 2.也可进行下边代码配置 @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfig
vue axios + spring boot + spring security 跨域问题
aijiao7798的博客
04-01 781
1. 问题概述: spring cloud config server, 做成数据库保存配置信息,然后有一堆删除改查的controller。 那么现在比如有这样一个/service/applications的RestController, 正常可以访问。 后来为了安全,加上了 spring: security: basic: enabled...
springbootvue-resource 跨域访问
imsjw
03-15 375
vue-resource 配置 import VueResource from 'vue-resource' Vue.use(VueResource); Vue.http.options.root = 'http://127.0.0.1:10030'; Vue.http.options.emulateJSON = true; springboot(2.x版本) 配置 这个注解放到单独的接口上则表...
引用Spring Security 项目的跨域处理
热门推荐
天暗下来,你就是光
05-23 2万+
最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。Spring 解决跨域的方式有很多,个人采用了Crosfilter的方式。具体代码如下: @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource ...
springboot访问本地静态资源避坑
最新发布
weixin_45705121的博客
05-19 264
我的项目是前端Vue,后端Springboot毕设里有访问本地静态资源的需求,但是前端由于浏览器的安全机制问题,直接访问会报Not allowed to load local resource的错误。
[新版]vue-element-admin 访问后端API 跨域问题
weixin_40736245的博客
12-03 816
访问后端API 跨域问题 新版教程
SpringBoot访问静态资源和jar外部静态资源,部署前端打包后的vue项目放入静态资源里
蚂蚁舞
04-19 6818
记录一下使用SpringBoot访问静态资源和SpringBoot打包之后的jar外部静态资源,部署前端打包后的vue项目放入静态资源里。
vue-resource jsonp跨域问题解决方法
YUSIR 完美CODING世界
08-15 1万+
最近在学习vue.js 碰到个ajax跨域请求的问题,之前知道可以用jsonp解决,但是一直没实践过,这次用发现里面好多问题,所以现在记录下来,希望可以给刚接触使用jsonp的同学一点帮助! 关于什么是jsonp,以及为什么要用jsonp我就不多说了,不明白的同学自行百度一下。 我们先来说一下jQuery里面的jsonp请求,这搞懂了 vue-resource 里面的jsonp
mybatis 枚举自动转换
Keith003的博客
11-20 1万+
基于springboot 整合mybatis  tk.mybatis   修改配置没有生效,只好重写 EnumTypeHandler 类 springboot 中 mybatis configuration 配置失效问题:https://blog.csdn.net/Keith003/article/details/84289638 结构如下 1、创建 BaseEnums 枚举公用接口 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值