CorsFilter 跨域请求安全限制应用案例分析

于 2024-07-15 23:05:19 发布
阅读量421 收藏 4
点赞数 21
分类专栏: spring mvc spring boot Java 文章标签: java filter spring mvc spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alises1314/article/details/140451552
版权
spring boot 同时被 3 个专栏收录
79 篇文章 0 订阅
订阅专栏
Java
60 篇文章 0 订阅
订阅专栏
spring mvc
43 篇文章 0 订阅
订阅专栏

CorsFilter 用于处理跨源资源共享(CORS)的过滤器。它允许配置CORS策略,使得服务器能够响应来自不同源的请求。

肖哥弹架构 跟大家“弹弹” SpringBoot源码,需要代码关注

欢迎 点赞,点赞,点赞。

关注公号Solomon肖哥弹架构获取更多精彩内容

业务场景:

假设你正在开发一个提供RESTful API的Web服务,这个服务将被多个不同的客户端应用所使用,这些客户端应用可能位于不同的域上。根据浏览器的同源策略,当这些客户端尝试与你的API进行交互时,可能会遇到跨域请求的安全限制。为了解决这个问题,你需要启用CORS。

1. 配置CorsFilter
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;

@Configuration
public class CorsConfig {

    @Bean
    public Filter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("*"); // 允许所有域名
        config.addAllowedHeader("*"); // 允许所有头
        config.addAllowedMethod("*"); // 允许所有方法
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);
    }
}

在这个配置中,我们创建了一个CorsFilter Bean,并设置了CORS配置,允许所有来源的请求。

2. 使用CorsFilter

一旦CorsFilter被配置,它会拦截所有进入的HTTP请求,并根据配置的CORS策略来决定是否允许这些请求。

关键处理代码:

CorsFilter 的关键处理逻辑在于它如何处理HTTP请求和添加适当的响应头:

import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsProcessor;
import org.springframework.web.cors.CorsConfigurationSource;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class CorsFilter extends GenericFilterBean {
    private final CorsConfigurationSource configurationSource;
    private CorsProcessor corsProcessor;

    public CorsFilter(CorsConfigurationSource configurationSource) {
        this.configurationSource = configurationSource;
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain filterChain)
            throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        CorsConfiguration config = configurationSource.getCorsConfiguration(request);
        if (config != null) {
            corsProcessor = new CorsProcessor(config, request.getServerPort());
            corsProcessor.processRequest(request, response);
        }
        filterChain.doFilter(req, res);
    }
}

在这个示例中,CorsFilter 通过 CorsConfigurationSource 获取当前请求的CORS配置,并使用 CorsProcessor 来处理请求和添加必要的响应头,例如 Access-Control-Allow-OriginAccess-Control-Allow-Methods 等。

目的:

  • CorsFilter 允许你的Web服务支持CORS,从而能够响应来自不同源的请求。
  • 它为跨域请求提供了安全机制,允许你精细控制哪些源可以访问你的API。
  • 使用CorsFilter可以提高Web服务的灵活性和可用性,使其能够被更多的客户端应用所使用。

通过使用CorsFilter,你可以确保Web服务的CORS策略得到正确实施,从而避免跨域请求带来的安全问题,并提供更好的开发体验。

Solomon_肖哥弹架构
关注
  • 21
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CORS资源共享(三):@CrossOrigin/CorsFilter处理请求示例及原理分析【享学Spring MVC】
架构师:通透,才能写出好代码!
09-24 4702
通过前[两篇文章](https://fangshixiang.blog.csdn.net/article/details/101036506)做好了的铺垫和讲述,现在的你应该了解了`CORS`是怎么回事以及`Spring MVC`对它是如何支持的,我有理由相信你现在完全是有能力去解决`CORS`请求问题,而不用再是两眼一抹黑了。 正所谓好人做到底,送佛送到西,小伙伴一直最为关心`Spring MVC`对`CORS`的落地实操示例我还没有给出,当然还有它的处理流程原理分析,那么本文就是你最应该关注和收藏的
java处理ajax请求_Ajax问题及解决方案
weixin_39888080的博客
02-25 231
复现Ajax问题做两个简单的小项目复现Ajax问题. 后端语言使用Java首先是一个简单的订单系统, 通过访问/loadOrderList, 最终以json串形式返回订单集合. 该项目使用Tomcat发布在7070端口.@RequestMapping("/loadOrderList")@ResponseBodypublic List loadOrderList(String uid){//...
前后端分离项目解决请求携带cookie的问题
qisoft1213的博客
11-19 3605
前后端分离项目解决请求携带cookie的问题 一、描述:真是一个令人头大的问题,网上百度的大多数方法都是,这样: 前端:withCredentials: true 后端:Access-Control-Allow-Credentials = true;..... 这样做其实也没错,但我这不行,我写的一模一样,可就是不行,o(╥﹏╥)o 最后,我觉得问题可能不在这里,可能是设置cookie的时候除了问题,后来还真是,后来一想,这玩意无非就是 源头->通道->接收,但我一直在整后两个却.
CORS资源共享(一):模拟请求以及结果分析,理解同源策略【享学Spring MVC】
架构师:通透,才能写出好代码!
09-20 3239
前言 在我们日常的项目开发时使用AJAX,传统的Ajax请求只能获取在同一个名下面的资源,但是HTML5打破了这个限制,允许Ajax发起请求。浏览器是可以发起请求的,比如你可以外链一个外的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。主要原因还是出于安全考虑,浏览器会限制脚本中发起的请求。(同源策略, 即JavaScript或Co...
SpringBoot自定义信息并持久化存储实时刷新
darryl的博客
02-09 531
SpringBoot自定义信息并持久化存储实时刷新CorsFilter介绍与分析如何实现信息刷新 本文介绍如何自定义信息,如何实时刷新系统中的配置,再结合数据库完成对信息的存储,基本实现信息通过API修改并同步刷新。 CorsFilter介绍与分析 首先看一下CorsFilter的继承结构 CorsFilter是自Spring MVC 4.2后专用来处理CORS问题的Filter,通常情况下,我们只需要注入CorsFilter bean即可完成对信息的配置。 @Bean pu
集成springSecurity遇到的问题
爱学习的大雄的博客
12-08 3521
在学习的路上总是会遇到许多问题,一时无法解决不要紧,只要找准了方向,就一定能够解决!
SpringBoot 中实现的5种方式
hello world!
05-10 272
往期热门文章:这几道Mysql面试题,绝了!! 这六个 MySQL 死锁案例,能让你理解死锁的原因! 厉害了!把 HashMap 剖析的只剩渣了! SQL left join 左表合并去重...
SpringMVC系列-7 @CrossOrigin注解与问题
Sheng_Q的博客
11-25 2150
理解同源策略是理解的前提。同源策略定义如下: 在同一来源的页面和脚本之间进行数据交互时,浏览器会默认允许操作,而不会造成站脚本攻击;不同源之间进行限制。 不同源之间形成,包括:协议、名、端口。http和https,localhost和127.0.0.1也会形成(即使经过名解析后相同)。 由于浏览器引擎实现了同源策略,即对访问进行了限制,因此存在问题。
后端问题的处理
xhmico的博客
06-14 561
在做前后端分离的项目时,很有可能会遇到这样一种情况:就是在游览器中请求后端的接口,出现了CORS error错误大概的意思就是:源资源共享(CORS)策略阻止了来自端口5173的前端应用对运行在端口8860的后端服务的请求
Spring Boot Web应用开发 CORS 请求支持
08-30
Spring Boot Web应用开发 CORS 请求支持 CORS(Cross-Origin Resource ...CORS 请求支持是Spring Boot Web应用开发中非常重要的知识点,通过配置CORS,我们可以解决问题,提高Web应用安全性和可靠性。
详解AngularJS如何实现请求
11-25
在前端开发中,问题时常困扰着开发者,因为浏览器的同源策略限制了JavaScript从一个源获取另一个源的数据。然而,随着Web应用的发展,需求变得日益普遍。AngularJS,作为一个强大的前端框架,提供了多种方式...
Springboot解决ajax+自定义headers的请求问题
10-16
总结,Spring Boot通过提供对`@CrossOrigin`注解和自定义`CorsFilter`的支持,使得处理请求变得简单而灵活。无论是针对特定接口还是全局配置,都能有效解决AJAX请求,包括带有自定义headers的问题。正确配置...
JavaScript如何实现请求
12-10
总之,请求是Web开发中不可避免的问题,通过JSONP和CORS等技术,我们可以安全地在不同源之间交换数据,以实现更丰富的Web应用功能。在实际项目中,根据需求和服务器支持选择合适的解决方案是至关重要的。
js请求数据的3种常用的方法
11-24
JavaScript中的请求是Web开发中的一个重要话题,由于同源策略的限制,浏览器不允许JavaScript从一个源(名、协议和端口的组合)获取另一个源的数据。为了解决这个问题,开发者通常采用以下三种常见的请求...
配置Java开发环境
Broken_x的博客
07-10 1587
Java开发环境配置
java版的上门家政系统和PHP版的上门家政有什么区别?
最新发布
baina666的博客
07-12 544
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
elk部署springboot
Chihirozy的博客
07-11 409
elk部署springboot。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 290
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。
js怎么绕过请求限制
04-28
在 JavaScript 中,可以使用资源共享(CORS)来绕过请求限制。CORS 是一种浏览器机制,可以让网页向服务器发出 XMLHttpRequest 请求,从而实现访问。要使用 CORS,需要在服务器端设置响应头信息,允许指定的名访问资源。 另外,在 JSONP 中也可以实现请求。JSONP 是一种利用 script 标签来进行数据传输的技术,通过在客户端动态创建 script 标签,发起请求,并在响应中返回一个函数调用,从而实现数据传输。需要注意的是,JSONP 只支持 GET 请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Solomon_肖哥弹架构

你的欣赏就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值