spring boot security 跨域配置

最新推荐文章于 2024-06-23 14:33:47 发布
最新推荐文章于 2024-06-23 14:33:47 发布
阅读量936 收藏 2
点赞数
文章标签: java
原文链接:https://my.oschina.net/u/1161526/blog/3066898
版权

背景

已拦截跨源请求:同源策略禁止读取位于 http*****的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。

原因

 CORS一般不需要在浏览器配置,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。
服务器根据这个值,决定是否同意这次请求,也就是说服务器会存在一份白名单,说明哪一些源是可以被允许的,而Access-Control-Allow-Origin就是包含在回应头里的白名单。
浏览器发现,这个回应的头信息没有包含Access-Control-Allow-Origin字段,就知道出错了,从而抛出一个错误,也就是你遇到的提示,是返回结果被浏览器拦截了,而不是请求发不出。
所以你需要的是在服务器上配置这个白名单,而不是更改页面

解决方案

  1. WebMvcConfigurerAdapter
@Configuration
public class WebConfiguration extends WebMvcConfigurerAdapter {
    /**
     * 跨域配置
     *
     * @param registry 注册器
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedHeaders("*").allowedOrigins("*");
    }
}
  1. 重新定义FilterRegistrationBean
@Configuration
public class MyConfiguration {

    @Bean
    public FilterRegistrationBean corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        config.addAllowedOrigin("http://domain1.com");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
        bean.setOrder(0);
        return bean;
    }
}

CORS with Spring Security

项目采用了Spring Security,则还需要加以下配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            //允许跨域
            .cors().and()
            ...
    }
}

参考:

https://www.jianshu.com/p/87e1ef68794c

http://www.saily.top/2016/12/29/spring-security-cors/

转载于:https://my.oschina.net/u/1161526/blog/3066898

chijiantui5894
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
12 spring boot Security Jwt 前后端分离跨域登录
06-02
标题 "12 spring boot Security Jwt 前后端分离跨域登录" 提示我们这个项目是关于使用Spring Boot Security和JWT(JSON Web Tokens)技术来实现一个前后端分离的跨域登录系统。在这个系统中,Spring Boot作为后端...
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2275
Springboot +spring security,解决跨域问题
SpringSecurity跨域配置
weixin_64443786的博客
07-13 1659
SpringSecurity
(新)Spring Security如何实现跨域
最新发布
weixin_55772633的博客
06-23 321
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求。默认情况下是被禁止的。同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。所以我们就要处理一下,让前端能进行跨域请求。
【深入浅出 Spring Security(九)】解决跨域问题和 Axios 所需配置
qq_63691275的博客
06-12 1850
在解决跨域问题时,由于集成了 Spring Security,登录后需要进行认证,认证完请求服务器端要认证的资源需要携带其认证的Cookie(也就是那个SessionID,表明已经认证了)。那么在前端使用 Axios 发送跨域请求的时候,就需要配置 axios.defaults.withCredentials = true 。这是用于控制在发送跨域请求时是否携带身份凭证的(例如 Cookie、Http认证等),当然后端也需要配置
Spring Boot三种跨域解决方案与Spring Security跨域解决方案
学无止境!
12-29 2804
JavaWeb跨域问题及解决方案,另外我下面会做补充。很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。此外,我们平常所说的跨域实际上都是在讨论浏览器行为。CORS(Cross-Origin Resource Sharing)的规范中有一组新增的HTTP首部字段,允许服务器声明其提供的资源允许哪些站点跨域使用。
security跨域配置
程序三两行
08-01 2100
CORS是w3c指定的一种跨域资源共享的请求资源方式,体现就是协议+ip+端口三个相同才是同源,否则就是跨域,早期javaEE解决跨域方案是JSONP,Jsonp(JSONwithPadding)是json的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。但是jsonp只支持get方式,而CORS支持多种请求方式,是目前主流的跨域解决方案。...
Java Spring Boot面试题
09-30
spring boot 核心配置文件是 application.properties 和 bootstrap.properties,两者之间的区别是 application.properties 用于配置应用程序的配置,而 bootstrap.properties 用于配置应用程序的 Bootstrap 配置。...
spring boot配合前端实现跨域请求访问
08-30
如果你的Spring Boot应用集成了Spring Security,你可以通过配置`WebSecurityConfigurerAdapter`来处理跨域。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { ...
Spring Boot Security OAuth2 实现支持JWT令牌的授权服务器源码.zip
03-25
Spring Boot SecuritySpring Security的简化版,专为Spring Boot设计,使得配置过程更为简洁。 OAuth2 是一个授权框架,它允许第三方应用在用户许可的情况下访问其私有资源。在OAuth2中,有四个核心角色:资源...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
在现代Web应用开发中,Spring BootSpring Security是两个非常重要的框架。Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则为应用程序提供了全面的安全管理解决方案。本教程将详细讲解...
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3881
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
SpringSecurity跨域
Littewood的博客
07-24 5939
SpringSecurity跨域解决
Spring Security系列教程之解决Spring Security环境中的跨域问题
xu_hui123的博客
12-08 5458
实现WebMvcConfigurer接口来解决跨域问题 二. Spring Security环境下的跨域问题解决 通过上面的配置,我们已经解决了Ajax的跨域请求问题,但是这个案例中也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery) 跨站请求伪造。跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法
Spring Security——09,解决跨域
weixin_42858422的博客
04-07 1751
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决跨域请求,拿到token。填入一个正确的密码,认证成功。
Spring BootSpring Security跨域解决方案
2301_77899321的博客
09-25 1300
Spring BootSpring Security跨域解决方案。
前后端分离SpringSecurity跨域问题解决方案(亲测可用)
Code_Guan的博客
12-06 1776
SpringBoot使用SpringSecurity跨域问题,解决方案,亲测可用
Spring Security怎么实现的跨域?
BASK2312的博客
01-15 260
如果你的项目使用了服务网关, 比如Spring Gateway 听我的, 跨域问题在服务网关解决, 如果你的项目没有使用服务网关再考虑在Spring Security解决跨域问题好嘛?当然我这句话需要按照你的项目实际情况考虑至于为什么我要这么说, 我就问问你, Spring Security是不是过滤器?那Spring Gateway也是不是过滤器?那谁的过滤器先执行?谁的过滤器后执行?如果 Spring Security添加了cors跨域, 但是被Spring Gateway修改了怎么办?反之又如何?
spring boot security 跨域设置
06-28
### 回答1: Spring Boot Security 跨域设置可以通过以下步骤实现: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 配置跨域Spring Boot Security 中,可以通过配置 CorsFilter 来实现跨域。在 WebSecurityConfigurerAdapter 中添加以下代码: ``` @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` 以上代码中,我们允许所有来源、所有请求头、所有请求方法,并允许携带凭证。 3. 配置 Spring Security 在 WebSecurityConfigurerAdapter 中添加以下代码: ``` @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/**").authenticated() .and() .httpBasic(); } ``` 以上代码中,我们禁用了 CSRF 防护,并配置了 /api/** 路径需要认证才能访问。 4. 测试跨域 现在我们可以测试一下跨域是否生效。我们可以在前端页面中使用 Ajax 请求后端接口,例如: ``` $.ajax({ url: 'http://localhost:8080/api/test', type: 'GET', xhrFields: { withCredentials: true }, success: function(data) { console.log(data); }, error: function(xhr, status, error) { console.log(error); } }); ``` 以上代码中,我们使用了 withCredentials 来允许携带凭证,这样就可以跨域访问后端接口了。 ### 回答2: 跨域是web编程中常见的一个问题,它指的是一个网站请求访问另一个网站的资源时被浏览器所阻止。Spring Boot Security框架提供了一些已经包含在内的安全功能,包括认证、授权、防止跨站点请求伪造和防止跨站点脚本攻击等。 在Spring Boot Security跨域设置中,我们可以使用如下方式来实现: 1. 添加跨域设置的依赖项。 为了能够实现跨域请求,我们需要在Spring Boot应用程序的构建文件中添加跨域设置的依赖项。可以通过在pom.xml文件中添加如下代码来添加依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> ``` 这些依赖项可以让我们使用Spring Boot Security框架的功能。 2. 创建一个常规的Spring Boot配置类。 使用@Configuration注释创建Spring Boot配置类。这样做可以允许我们定义许多不同的Bean,在配置文件中可以将Bean打包在一起并供应用程序使用。我们可以使用以下代码创建一个简单的配置类。 ``` @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethods("*"); } }; } } ``` 3. 创建一个跨域请求处理器。 创建跨域请求处理对象,使用@CrossOrigin注释实现处理跨域。我们可以使用以下代码来实现这项功能。 ``` @RestController @RequestMapping("/api") public class CorsController { @CrossOrigin @GetMapping("/test") public String corsTest() { return "CORS Testing"; } } ``` 通过以上方法,我们可以实现跨域访问资源,并且更好地保护我们的Web应用程序。 ### 回答3: Spring Boot是一个强大的Java框架,可以帮助构建RESTful API和Web应用程序。在Web应用程序的开发中,跨域请求是一个普遍的问题。这时候,Spring Boot Security可以帮助处理这个问题。 什么是跨域请求? 跨域请求指的是在一个域名下的网页获取另一个域名下的资源,而且该请求不能直接发出。 Spring Boot Security如何设置跨域请求? 在Spring Boot Security中通过配置CorsFilter来设置,CorsFilter会为跨域请求添加必要的头信息Access-Control-Allow-Origin,所以需要在SecurityConfig中进行CorsFilter的配置。 首先添加maven依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.4.5</version> </dependency> ``` 然后在SecurityConfig中新增CorsFilter: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception { //关闭csrf跨站请求伪造 http.csrf().disable() //处理跨域请求 .cors().and() //配置权限 .authorizeRequests() .antMatchers("/","/home","/index").permitAll() //其他请求需要认证 .anyRequest().authenticated() .and() //允许注销登陆 .logout().permitAll(); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); //设置允许跨域的域名,*代表所有 configuration.setAllowedOrigins(Arrays.asList("*")); //允许的请求方法 configuration.setAllowedMethods(Arrays.asList("OPTIONS", "GET", "POST", "PUT", "DELETE")); //允许的头信息 configuration.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type")); //允许的cookie信息 configuration.setAllowCredentials(true); //配置Url映射路径 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 这样就完成了Spring Boot Security跨域设置,当然还需要跨域请求的测试。可以使用Postman或curl发起测试请求。如果测试请求正确返回结果,那么跨域请求已经实现了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值