Cors跨域白名单配置失效排查 过滤器Filter

最新推荐文章于 2024-04-29 15:59:43 发布
最新推荐文章于 2024-04-29 15:59:43 发布
阅读量701 收藏 10
点赞数 11
文章标签: java 开发语言 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StarJava001/article/details/135777097
版权

1.指定能访问的客户端域名,后测试发现白名单未生效,非白名单的也能访问.

    @Bean
    @Conditional(CorsFilterCondition.class)
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        //是否允许请求带有验证信息
        corsConfiguration.setAllowCredentials(true);
        // 允许访问的客户端域名
        corsConfiguration.addAllowedOriginPattern("http://localhost:3000");
//        corsConfiguration.addAllowedOriginPattern("*");
        // 允许服务端访问的客户端请求头
        corsConfiguration.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

2.那么问题就是指向了 Filter, 为什么配置没有生效?

        在 DefaultCorsProcessor 的 processRequest 方法中发现 

        在判断 response(响应)  的 ACCESS_CONTROL_ALLOW_ORIGIN(访问-控制-允许-源)                是直接返回true,没有到匹配白名单的方法( handleInternal )中,

        如图

3.那么就能确定之前的Filter中有给 response  的 ACCESS_CONTROL_ALLOW_ORIGIN赋值操作

        那就断点查看Filter 中有哪些过滤器是在 CorsFilter 之前的,发现有个MagicCorsFilter

        进一步查看源码

        发现此处 Origin 为空则赋值 *  否则赋值 Origin   
       

刚好给response(响应)  的 ACCESS_CONTROL_ALLOW_ORIGIN 赋值使其跳过了后的校验

解决

找到了问题那就好解决了,

方案1.提升CorsFilter的优先级别在MagicCorsFilter之前,
方案2.降低MagicCorsFilter的优先级别在CorsFilter之后

我采用的是方案1 如下代码

        //优先级别提升带最高
        filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);

    @Value("${cors.origins:*}")
    private String origins;

    @Bean
    public FilterRegistrationBean<CorsFilter> newCorsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildCorsConfig());
        FilterRegistrationBean<CorsFilter> filterRegistrationBean = new FilterRegistrationBean<>(new CorsFilter(source));
        
        //优先级别提升带最高
        filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        
        return filterRegistrationBean;
    }
    private CorsConfiguration buildCorsConfig() {
        CorsConfiguration corsConfig = new CorsConfiguration();


        corsConfig.addAllowedOriginPattern("白名单");
        //其他配置自行添加

        corsConfig.setAllowCredentials(true);
        return corsConfig;
    }

提升后

再次测试问题解决

gyx_java
关注
Node.js设置CORS请求中多白名单的方法
10-20
主要介绍了Node.js设置CORS请求中多白名单的方法,文中通过示例代码介绍的非常详细,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
Cors问题:CorsFilter无效
2201_75767475的博客
06-11 629
查阅资料发现Access-Control-Allow-Origin不支持多名,即有效的响应头为最后一个添加的(覆盖)。可以使用通配符*作为Access-Control-Allow-Origin的值(当然这并不安全),亦或只留下生产环境的名。
解决JS请求时后端CorsFilter不生效的问题
YiLuoFc的博客
08-16 974
在多过滤器的情况下解决过滤器不生效的问题
简单记录服务器端cors白名单设置
m0_50986031的博客
02-20 769
【代码】服务器端cors白名单设置。
Cors预请求处理使用SpringMVC拦截器无效问题
caiqianzhigai0859的博客
02-13 4072
    近两天在配合前端处理问题,自然而然的去了解了一个Cors处理请求。Cors在进行非简单请求时,会先进行一次预请求,用来验证服务器是否允许此次请求。而我准备用SpringMVC的拦截器来处理这个预请求,发现请求根本就没有到达拦截器就返回验证失败给浏览器了。百度了一下看到别人用过滤器有成功实现的例子,我也尝试了一下,发现确实是可行的。最后使用了Spring本身就集成的Cors配置。查...
CorsFilter失效
03-14
当使用自定义的 `WebMvcConfigurer` 或者通过实现接口的方式配置 CORS 时,可能会与其他过滤器冲突或者未被正确加载。建议确保 `CorsConfigurationSource` 和 `CorsFilter` 正确注册到应用程序上下文中[^1]。 ```...
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1986
SpringSecurity6 自定义认证过滤器无效
微服务网关查不到值
03-17
4. **过滤器执行顺序**:如果多个过滤器存在,可能某个前面的过滤器修改或删除了参数,导致后续过滤器获取不到。 5. **权限或问题**:配置可能阻止了某些参数的传递,或者权限拦截器提前拦截了请求。 6. *...
芋道 Spring Boot SpringMVC 入门
芋艿V
04-30 806
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
spring boot 中的API服务起不来的原因
最新发布
03-22
启动时报错`Security filter chain`异常或配置失效[^4]。 2. **解决方案** - 检查`WebSecurityConfigurerAdapter`配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig { @...
SpringBoot在使用SpringSecurity时,配置过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 6808
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
springboot 设置CorsFilter不生效问题
sh513023410的博客
10-21 5848
问题描述 公司的前后端开发项目工程,在本地调试的时候遇到了的问题,同事调我的服务一直提示问题,然后前端nb他自己在哪里做了处理,类似nginx那种,但是我还是百度去看了一下,在一个大佬的博客中发现了解决方案,转载一下。 问题原因是是写的判断登录的filter影响了登录,原因是的这个filter执行顺序在corsfilter之前导致,于是修改了一下设置的配置文件 /** * 使用CORS,用于解决ajax访问问题 */ @Configuration public class Globa
java 配置CorsFilter不生效原因
七濑武的博客
04-15 5343
java 配置CorsFilter不生效原因 项目中有多个Filter时,需要通过 @Order(Ordered.HIGHEST_PRECEDENCE) 注解设置过滤器的执行顺序 order的规则 1. order的值越小,优先级越高 2. order如果不标注数字,默认最低优先级,因为其默认值是int最大值 3. 该注解等同于实现Ordered接口getOrder方法,并返回数字。 如果使用如下注释掉的方法进行设置Filter的doFilter()方法中直接return出去时,前端会提示
配置白名单
sdsdvsdvs的博客
08-31 650
在前段保存token数据//# 用户模型类 子应用名.模型类。此导包自带用户信息字段//# 添加黑白名单
IRS应用发布之七:设置白名单
林中静月下仙的博客
05-19 900
设置白名单 应用在开发阶部署阶段需要与本地服务器进行开发联调时,需要将待访问的本地名或IP地址添加到API网关白名单中,然后才能调用mgop接口进行访问。本文介绍如何为应用设置访问白名单。 操作步骤 登录开发商工作台。 单击左侧导航栏 >发布管理。 根据业务需要,单击左侧导航栏服务侧名称列表或者治理侧名称列表。 在搜索区通过关键字快速搜索目标服务,然后单击查询。 单击目标服务右侧的更多>配置,在服务侧名称配置页面进行以下
白名单设置
wangyu136117373的博客
02-14 584
白名单设置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值