CORS 设置笔记

已于 2023-10-05 11:04:33 修改
阅读量683 收藏
点赞数
文章标签: 笔记 spring websocket
于 2023-09-30 03:21:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingjunlintian/article/details/133421989
版权
本文介绍了CORS设置中的setAllowedOrigins和setAllowedOriginPatterns的区别,以及在Spring5.3+中使用SockJS时遇到的安全问题。Spring要求使用setAllowedOriginPatterns明确设置允许的源以提升安全性,解决方法是针对SockJS启用时使用setAllowedOriginPatterns("*").

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CORS 设置笔记

1. setAllowedOrigins vs setAllowedOriginPatterns

setAllowedOrigins

  • 用于明确指定允许的 URL 列表。
  • 不能与通配符 (*) 一起使用。
  • 例:
    setAllowedOrigins(Arrays.asList("https://example.com", "https://another-example.com"));
    只允许来自 https://example.comhttps://another-example.com 的请求。

setAllowedOriginPatterns

  • 允许使用正则表达式模式来指定允许的来源。
  • 适用于需要模式匹配,例如子域的情况。
  • 例:
    setAllowedOriginPatterns(Arrays.asList("https://*.example.com"));
    允许来自 https://example.com 的任何子域的请求,如 https://sub.example.comhttps://another-sub.example.com

注意:如果同时设置了 setAllowedOriginssetAllowedOriginPatternssetAllowedOriginPatterns 的设置会覆盖 setAllowedOrigins 的设置。

2. Spring 的 SockJS 设置问题

在 Spring 5.3+ 版本中,使用 setAllowedOrigins("*")withSockJS() 结合时会导致错误。

报错

IllegalArgumentException: When SockJS is enabled, use the setAllowedOriginPatterns method instead.

原因:
SockJS 提供了一个模拟 WebSocket 的后备选项,可能涉及到跨域请求。Spring 强制使用 setAllowedOriginPatterns 来更明确地设置允许的源,以增强安全性。

解决
使用 SockJS 时,应该使用 setAllowedOriginPatterns("*") 而不是 setAllowedOrigins("*")

希望这份笔记对你有所帮助!

小铭好菜
关注
SpringBoot笔记20】SpringBoot跨域问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 CSDN 记录学习心得和笔记内容。
11-01 2338
跨域问题,是指:浏览器发起了一个不在当前域名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、域名、端口下的才能够访问跨域问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现跨域了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,跨域报错如下所示:上面案例是前端【】这个域,通过ajax访问【】域的时候,浏览器抛出的跨域异常信息。
CORS和CSRF--学习笔记
weixin_45951911的博客
12-04 4088
一、CORS 和 CSRF 区别 两者概念完全不同,另外常常我们也会看到 XSS ,这里一起介绍: CORS : Cross Origin Resourse-Sharing 跨站资源共享 CSRF : Cross-Site Request Forgery 跨站请求伪造 XSS : Cross Site Scrit 跨站脚本攻击(为与 CSS 区别,所以在安全领域叫 XSS) 二、CORS 1、概念 跨来源资源共享(CORS),亦译为跨域资源共享,是一份浏览器技术的规范,提供了 Web服
SpringBoot解决跨域问题
buling_bulink的博客
06-09 2232
SpringBoot解决跨域问题 解决前后端分离的项目出现的跨域问题 ​ 现在很多都是前后端分离的结构,但此结构会导致跨域问题,我曾百度到很多解决方案,有些是要改注解,有些是改内容等等,都没有完整的解决我的问题,有次看到了一个博主写的解决跨域问题的代码和大部分都不一样,适用于我的,但是记不大清楚是哪个博主的了,这里我先将代码粘贴如下: @Configuration public class CorsConfig { @Bean public CorsFilter corsFilter()
spring 2.7.14 cors 设置 allowedOrigins(“*“)通配符 失效怎么解决
m0_53653818的博客
08-12 2200
allowCredentials(true)被设置成了ture,说明浏览器应该在请求时携带凭证(credential),如果使用*作为通配符会导致安全问题,所以会导致通配符。将allowCredentials()设置为false。
SpringBoot 2.4.0版本后解决跨域问题
weixin_48314739的博客
12-14 5995
package com.clickpaas.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConfigura
SpringBoot】跨域配置,实测可用的两种配置方式,含详细注释
最新发布
zxy2361380031的博客
11-26 709
SpringBoot跨域配置 基于CorsFilter的跨域配置 基于WebMvcConfigurer的跨域配置
关于WebSocket跨域的问题
Yihchu'world
10-14 1万+
前话 最近在搞WebSocket,前后端分离,需要解决一下跨域的问题。跨域,本来也不是什么难事,但是这次就遇到了一些状况。记录一下。 问题 在项目里配置WebSocket需要实现WebSocketMessageBrokerConfigurer接口,而该接口需要实现一个方法,registerStompEndpoints(StompEndpointRegistry registry)。 如果需要跨域,那么有两种方式,一个是setAllowedOrigins,另一个就是setAllowedOriginPatter
spring配置CORS后未返回Access-Control-Allow-Origin的踩坑解决
07-09 6984
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
浏览器CORS跨域笔记
ziliwangmoe的博客
08-15 2495
CORS的意义:在不同domain之间共享数据 通过在请求中附带登陆token实现登陆过一次后,就可以免登陆的功能 如果有恶意网站使用一些特殊手段骗取浏览器把本来只会发给其他网站的token也发给恶意网站了。这下恶意网站就可以使用token以用户的身份登陆了。(Cross-site request forgery) 为了防止这种行为,浏览器一般只允许相同demain内的web相互请求数据 但实际情况这是不现实的,一个页面的所有数据不可能都存在一个domain下。比如第三方的api 所有有了
跨域资源共享CORS学习笔记
绯浅yousa的笔记
12-19 8445
跨域资源共享CORS学习笔记1、同源政策含义1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。协议相同 域名相同 端口相同举例来说,http://www.example.com/dir/page.html这个网址,协议是http://,域名是
spring websocket 测试项目
12-19
spring websocket 测试项目,项目中遇到的一些坑已经试验过了
cors-everywhere-firefox-addon:一个firefox插件,可通过更改http响应在任何地方启用CORS
05-01
笔记 重要的是要了解,此插件实际上并不会在Firefox中禁用任何类型的安全性。 它仅更改http请求,以使浏览器相信服务器已成功响应。 这意味着http请求必须有效并且遵循CORS规则。 现在,此插件是WebExtension。 ...
SpringBoot 跨域配置
kxh166的博客
02-20 1216
SpringBoot 跨域配置 SrpingBoot 配置 WebMvcConfig WebMvc配置 @Configuration public class WebMvcConfig implements WebMvcConfigurer { /** * CORS */ @Override public void addCorsMappings(CorsRegistry registry) { // 所有请求都允许跨域 // When allowCredentials is tru
SpringBoot 集成JWT解决跨域问题
qq_42725148的博客
09-18 1424
通过注册corsFilter来解决: 在项目中添加CorsFilterConfig.java package com.bbicc.jwtDemo.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; im...
Spring Websocket 使用笔记
PseudoScience
09-18 2万+
spring websocket框架使用笔记
SpringBoot 2.4.0 版本之后跨域的问题 处理
12-16 935
package com.clickpaas.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCorsConf...
服务器推送之WebSocket 入门学习路程(四) 中结
wwwgggisnotme的专栏
07-08 3082
【小结2】 经过前面的这些坑,虽然看起来不多,但是别忘了,这些坑也是总结出来的,不总结的时候,谁知道是几个坑啊 【Step 6: 写高级的代码】 在弄stomp之前,强烈建议 大家看看stomp的知识,不才孤陋寡闻,以为stomp是spring支持websocket才出的东西,其实不然,这东西早就有,不看的话有些概念弄不清。 在这之前读文档的时候 就说了一个坑, 这个stomp的用
Spring WebSocket+SockJS+Stomp实现一对一、一对多通信
热门推荐
隔壁老王的专栏
11-27 5万+
最近项目上要做扫码登录,所以研究了一下Spring WebSocket。网上找了很多资料 springmvc(18)使用WebSocket 和 STOMP 实现消息功能、spring websocket + stomp 实现广播通信和一对一通信,要么就是不是自己想要的,要么就是只有中间一部分。所以特别写了这篇文章,一方面怕自己遗忘,另一方面是希望可以给大家一些参考。 先放代码,在文章的最后我
java跨越请求实例
梓鸿
11-27 508
java跨越请求实例 使用Access-Control-Allow-Origin解决跨域 什么是跨域 当两个域具有相同的协议(如http), 相同的端口(如80),相同的host(如www.google.com),那么我们就可以认为它们是相同的域(协议,域名,端口都必须相同)。 跨域就指着协议,域名,端口不一致,出于安全考虑,跨域的资源之间是...
AngularJS课程笔记:SOP与CORS问题的解决方案
代码中使用了res.header()方法来设置三个重要的CORS响应头: - 'Access-Control-Allow-Origin': '*' 允许所有域的跨域请求。 - 'Access-Control-Allow-Methods': 'GET, POST, PUT, DELETE, OPTIONS' 允许的HTTP方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值