Cors跨域白名单配置失效排查 过滤器Filter

最新推荐文章于 2024-06-11 10:42:31 发布
最新推荐文章于 2024-06-11 10:42:31 发布
阅读量478 收藏 10
点赞数 11
文章标签: java 开发语言 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StarJava001/article/details/135777097
版权

1.指定能访问的客户端域名,后测试发现白名单未生效,非白名单的也能访问.

    @Bean
    @Conditional(CorsFilterCondition.class)
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        //是否允许请求带有验证信息
        corsConfiguration.setAllowCredentials(true);
        // 允许访问的客户端域名
        corsConfiguration.addAllowedOriginPattern("http://localhost:3000");
//        corsConfiguration.addAllowedOriginPattern("*");
        // 允许服务端访问的客户端请求头
        corsConfiguration.addAllowedHeader("*");
        // 允许访问的方法名,GET POST等
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }

2.那么问题就是指向了 Filter, 为什么配置没有生效?

        在 DefaultCorsProcessor 的 processRequest 方法中发现 

        在判断 response(响应)  的 ACCESS_CONTROL_ALLOW_ORIGIN(访问-控制-允许-源)                是直接返回true,没有到匹配白名单的方法( handleInternal )中,

        如图

3.那么就能确定之前的Filter中有给 response  的 ACCESS_CONTROL_ALLOW_ORIGIN赋值操作

        那就断点查看Filter 中有哪些过滤器是在 CorsFilter 之前的,发现有个MagicCorsFilter

        进一步查看源码

        发现此处 Origin 为空则赋值 *  否则赋值 Origin   
       

刚好给response(响应)  的 ACCESS_CONTROL_ALLOW_ORIGIN 赋值使其跳过了后的校验

解决

找到了问题那就好解决了,

方案1.提升CorsFilter的优先级别在MagicCorsFilter之前,
方案2.降低MagicCorsFilter的优先级别在CorsFilter之后

我采用的是方案1 如下代码

        //优先级别提升带最高
        filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);

    @Value("${cors.origins:*}")
    private String origins;

    @Bean
    public FilterRegistrationBean<CorsFilter> newCorsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", buildCorsConfig());
        FilterRegistrationBean<CorsFilter> filterRegistrationBean = new FilterRegistrationBean<>(new CorsFilter(source));
        
        //优先级别提升带最高
        filterRegistrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        
        return filterRegistrationBean;
    }
    private CorsConfiguration buildCorsConfig() {
        CorsConfiguration corsConfig = new CorsConfiguration();


        corsConfig.addAllowedOriginPattern("白名单");
        //其他配置自行添加

        corsConfig.setAllowCredentials(true);
        return corsConfig;
    }

提升后

再次测试问题解决

gyx_java
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node.js设置CORS跨域请求中多域名白名单的方法
10-20
主要介绍了Node.js设置CORS跨域请求中多域名白名单的方法,文中通过示例代码介绍的非常详细,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
同源策略产生介绍及解决跨域最常见的三种方式(JSONP+CORS+反向服务器代理),用详细的前后端分离代码带你搞懂跨域原理
izl040905的博客
11-13 772
跨域其实就是用AJAX进行请求数据时会遇到的访问问题,浏览器会给你报错,Fetch也是有这样的问题。这时候你可能会问,为什么在script标签中引用了别的源却不会出现这样的问题呢?这种情况相信写过JS代码的都知道吧。这是因为JS设计人员当初在设计标签的时候就允许了在别的源请求脚本,所以就有很聪明的开发前辈利用这个 “ 漏洞 ” 进行跨域,这个方法便是JSONP。
说一说跨域和如何解决
2301_78976656的博客
05-12 877
ajax请求受同源策略的影响,但是上的src属性不受同源策略的影响,且该属性也会导致 浏览器发送一个请求缺点必须要后端配合只能用于get请求jsonpCors (Cross-Origin Resource Sharing) --- 后端通过设置响应头来告诉浏览器不要拒绝接受后端的响应因为后端没有同源政策,vite创建一个node服务,所以node可以直接请求到后端的数据,再拿给前端。但是vite只能在开发环境生效。
解决JS请求跨域时后端CorsFilter不生效的问题
YiLuoFc的博客
08-16 712
在多过滤器的情况下解决跨域过滤器不生效的问题
Cors预请求处理使用SpringMVC拦截器无效问题
caiqianzhigai0859的博客
02-13 4009
    近两天在配合前端处理跨域问题,自然而然的去了解了一个Cors处理跨域请求。Cors在进行非简单请求时,会先进行一次预请求,用来验证服务器是否允许此次请求。而我准备用SpringMVC的拦截器来处理这个预请求,发现请求根本就没有到达拦截器就返回验证失败给浏览器了。百度了一下看到别人用过滤器有成功实现的例子,我也尝试了一下,发现确实是可行的。最后使用了Spring本身就集成的Cors配置。查...
Cors跨域问题:CorsFilter无效
最新发布
2201_75767475的博客
06-11 176
查阅资料发现Access-Control-Allow-Origin不支持多域名,即有效的响应头为最后一个添加的(覆盖)。可以使用通配符*作为Access-Control-Allow-Origin的值(当然这并不安全),亦或只留下生产环境的域名。
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 5861
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
你可能不知道的CORS跨域资源共享
10-17
在设置CORS时,服务器端需要配置响应头来指定允许跨域的源。例如,在Node.js的Express框架中,可以通过以下代码设置: ```javascript app.use(async (ctx, next) => { ctx.set({ "Access-Control-Allow-Origin": ...
解决跨域过滤器CORSFilter
12-23
为了解决这个问题,我们可以使用CORS(Cross-Origin Resource Sharing,跨源资源共享)机制,而CORSFilter则是实现这一机制的一种过滤器。本文将详细介绍CORSFilter的原理、配置以及如何在实际项目中应用。 ...
react中fetch之cors跨域请求的实现方法
08-27
在 React 中实现 CORS 跨域请求需要在服务器端配置 CORS,并在客户端使用 Fetch 函数发送跨域请求。本文中,我们使用 PHP 作为服务器端语言,使用 Phalcon 框架,并在 React 中使用 Fetch 函数发送跨域请求。希望...
springboot 设置CorsFilter跨域不生效问题
sh513023410的博客
10-21 5716
问题描述 公司的前后端开发项目工程,在本地调试的时候遇到了跨域的问题,同事调我的服务一直提示跨域问题,然后前端nb他自己在哪里做了跨域处理,类似nginx那种,但是我还是百度去看了一下,在一个大佬的博客中发现了解决方案,转载一下。 问题原因是是写的判断登录的filter影响了登录,原因是的这个filter执行顺序在corsfilter之前导致,于是修改了一下跨域设置的配置文件 /** * 使用CORS,用于解决ajax跨域访问问题 */ @Configuration public class Globa
java 跨域 配置CorsFilter不生效原因
七濑武的博客
04-15 5137
java 跨域 配置CorsFilter不生效原因 项目中有多个Filter时,需要通过 @Order(Ordered.HIGHEST_PRECEDENCE) 注解设置过滤器的执行顺序 order的规则 1. order的值越小,优先级越高 2. order如果不标注数字,默认最低优先级,因为其默认值是int最大值 3. 该注解等同于实现Ordered接口getOrder方法,并返回数字。 如果使用如下注释掉的方法进行设置跨域Filter的doFilter()方法中直接return出去时,前端会提示跨域
跨域白名单设置
wangyu136117373的博客
02-14 431
跨域白名单设置
springboot 设置CorsFilter跨域不生效的解决
luoxiang183的专栏
04-11 3123
网上有很多CorsFilter跨域不生效解决办法,一下链接是我试过成功的一种解决办法, springboot 设置CorsFilter跨域不生效的解决_Java_软件编程 - 编程客栈 跨域配置CorsFilter不生效原因 项目中有多个Filter时,需要通过 @Order(Ordered.HIGHEST_PRECEDENCE) 注解设置过滤器的执行顺序 order的规则 1. order的值越小,优先级越高 2. order如果不标注数字,默认最低优先级,因为其默认值是int最大值 3.
egg 设置跨域白名单
weixin_33769125的博客
12-07 1144
本人纯前端,刚入坑egg一个月,nodejs 小白,得益于 egg 的优雅与强大,公司项目进展得十分顺利。我个人egg 的使用体验跟 vue 一样(词穷),单纯而美好。跨域问题写服务端难免要考虑到跨域的问题,egg-cors 插件提供了 origin 的配置,给大家提供了便利。egg-cors 开启:egg-cors 配置:这是目前用的比较多的插件,用来解决跨域问题。但是我在实际项目中,有的需求并...
jsonp跨域请求域名白名单设置
T_Struggle的博客
11-13 338
Jsonp跨域请求是很方便,但是安全性不太高。php服务端还是都根据域名做个白名单限制,一定程度上防止被刷接口。 //域名白名单 $whiteList = array('www.xxxx.com', 'm.xxxx.com'); if (!in_array(parse_url($_SERVER['HTTP_REFERER'])['host'], $whiteList)) { die; } ...
java后端cors跨域设置白名单
11-25
Java后端cors跨域设置白名单可以通过以下步骤实现: 1. 在web.xml文件中添加CorsFilter过滤器。 2. 在CorsFilter过滤器中设置允许跨域的域名白名单,可以使用通配符*表示允许所有域名跨域访问。 3. 在CorsFilter过滤器中设置允许跨域的请求方法,例如GET、POST等。 4. 在CorsFilter过滤器中设置允许跨域的请求头,例如Content-Type、Authorization等。 5. 在CorsFilter过滤器中设置允许跨域的响应头,例如Access-Control-Allow-Origin、Access-Control-Allow-Methods等。 具体实现可以参考以下代码: ``` public class CorsFilter implements Filter { private String allowOrigin; private String allowMethods; private String allowCredentials; private String allowHeaders; private String exposeHeaders; @Override public void init(FilterConfig filterConfig) throws ServletException { allowOrigin = filterConfig.getInitParameter("allowOrigin"); allowMethods = filterConfig.getInitParameter("allowMethods"); allowCredentials = filterConfig.getInitParameter("allowCredentials"); allowHeaders = filterConfig.getInitParameter("allowHeaders"); exposeHeaders = filterConfig.getInitParameter("exposeHeaders"); } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) servletResponse; HttpServletRequest request = (HttpServletRequest) servletRequest; if (StringUtils.isNotBlank(allowOrigin)) { response.setHeader("Access-Control-Allow-Origin", allowOrigin); } if (StringUtils.isNotBlank(allowMethods)) { response.setHeader("Access-Control-Allow-Methods", allowMethods); } if (StringUtils.isNotBlank(allowCredentials)) { response.setHeader("Access-Control-Allow-Credentials", allowCredentials); } if (StringUtils.isNotBlank(allowHeaders)) { response.setHeader("Access-Control-Allow-Headers", allowHeaders); } if (StringUtils.isNotBlank(exposeHeaders)) { response.setHeader("Access-Control-Expose-Headers", exposeHeaders); } filterChain.doFilter(request, response); } @Override public void destroy() { } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值