Spring Security 配置 CORS 失效的问题

于 2024-08-05 11:21:51 发布
阅读量288 收藏
点赞数 3
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16453311/article/details/140922069
版权

CORS  是解决跨域访问的一种策略,如果在 Spring boot 或者 Spring MVC 框架下使用可以说是零门槛、零难度。但是一旦项目引用了 security 后,却并不是那么容易了,不管你怎么配置,总是不生效,无法对指定的域名和源放行,也就是说,你想让你的目标域名可以使用js调用你的应用,却发现总是被 拒绝,报cors异常。

1、首先确保 spring mvc + security 可以正常运行;

2、在 spring security 的配置文件中配置必要的两个 bean,如下:

<!-- CORS 配置 -->

<bean id="corsConfigurationSource" class="org.springframework.web.cors.UrlBasedCorsConfigurationSource">
        <property name="corsConfigurations">
            <map>
                <entry key="/**">
                    <bean class="org.springframework.web.cors.CorsConfiguration">
                        <property name="allowCredentials" value="true"/>
                        <property name="allowedHeaders">
                            <list>
                                <value>*</value> <!-- 允许的请求头 -->
                            </list>
                        </property>
                        <property name="allowedMethods">
                            <list>
                                <value>GET</value>
                                <value>POST</value>
                                <value>PUT</value>
                                <value>DELETE</value>
                                <value>OPTIONS</value> <!-- 允许的请求方法 -->
                            </list>
                        </property>
                        <property name="allowedOrigins">
                            <list>
                                <!-- 允许的来源 -->
                                <value>http://www.xxxxx.com</value>
                                <value>http://xxxxx.com</value>
                            </list>
                        </property>
                    </bean>
                </entry>
            </map>
        </property>
    </bean>

    <bean id="corsFilter" class="org.springframework.web.filter.CorsFilter">
        <constructor-arg ref="corsConfigurationSource"/>
    </bean>

    <!-- CORS 配置结束 -->

以上配置网上都有,非常简单,照抄就行了。

3、指定 corsFilter 过滤器在其他 过滤器之前执行;;

    <security:http auto-config="true" use-expressions="true">
        <security:cors/> <!-- 启用 cors -->
        <!-- 其他配置 -->
        <!-- 必须指定 corsFilter 过滤器在所有的安全过滤器之前被注入执行,否则后面关于 cors 的配置完全 失效-->
        <security:custom-filter ref="corsFilter" before="CHANNEL_FILTER"/>
    </security:http>

看清楚了,必须把 <security:custom-filter ref="corsFilter" before="CHANNEL_FILTER"/> 加上,否则,corsFilter 过滤器是不起作用滴!!!!!!!

Eagsen CEO
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 核心配置详解
程序员光剑
08-06 952
Spring Security是一个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
Spring Security 6.x 系列【53】扩展篇之CORS支持
记录知识、锤炼自我
06-06 1306
跨域是由于浏览器的同源策略造成的,跨域资源共享CORS机制,则允许服务器标示其他源,允许访问资源。在使用Spring MVC时,可以添加如下配置解决跨域。
关于Spring SecurityCORS
最新发布
寻码启示
06-11 1509
跨域请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
weixin_42907150的博客
01-26 1299
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
跨域啥的还是要后端来做!
sinat_41770242的博客
08-23 1223
package com.zcw.conf; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import o...
09 SpringSecurity-跨域与CORS
02-17 5156
一、认识跨域 很多人误认为资源跨域时无法请求,通常情况下时可以正常发起的(部分浏览器存在特例),后端也进行了正常处理,只是在返回时被浏览器拦截,导致响应内容无法使用。可以论证这一点的著名案例就是CSRF跨站攻击。 CSRF跨站攻击 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。通常来说就是攻击者盗用你的身份,以你的名义发送恶意请求。 注意这是真实的攻击手段: 举
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2322
Springboot +spring security,解决跨域问题
Spring Security系列教程解决Spring Security环境中的跨域问题
xiaoxijinger的博客
11-02 847
原创:千锋一一哥 前言 上一章节中,一一哥 给各位讲解了同源策略和跨域问题,以及跨域问题的解决方案,在本篇文章中,我会带大家进行代码实现,看看在Spring Security环境中如何解决跨域问题。 一. 启用Spring SecurityCORS支持 1. 创建web接口 我先在SpringBoot环境中,创建一个端口号为8080的web项目,注意这个web项目没有引入Spring Security的依赖包。然后在其中创建一个IndexController,定义两个测试接口以便被ajax进行跨域访问。
关于Spring security的一些小知识
m0_58203725的博客
11-10 576
Spring Security中一些知识的解析,为了使我们更好的理解Spring Security安全框架,该内容仅是一些自我理解,如有不足,请多担待并指正,达到互相学习目的哈
Spring Security(十三)跨域与CORS
core815的专栏
10-15 697
一.简介 跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 认识跨域 很多人认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上就是讨论浏览器行为,包括各种WebView容器等(其中,以XmlHt...
Spring Boot、Spring securitySpring MVC整合使用,CORS跨域问题
wxj123465的博客
08-06 397
声明:跨域的问题,前端和后端都能解决,CORS本身是在后端解决的,但是前端通过代理使请求变成不跨域也能解决,就看前端和后端开发人员的较量了。 问题Spring Security提供的login接口访问不成功,OPTIONS预请求报错 报错信息: Access to XMLHttpRequest at 'http://localhost:8080/sockjs-node/info?t=156...
Springboot通过cors解决跨域问题(解决spring security oath2的/oauth/token跨域问题
GeorgeShaw1的专栏
07-13 1万+
在工程里添加两个类: CorsConfig.java: 实现全局过滤器,设置CORS,注意一定要是全局。网上说多加一个注解(Spring官网)或者加Cors Mapper只能解决自定义接口的跨域,对于spring security oath2的默认接口,例如 /oauth/token跨域问题,是无法解决的,必须通过本文的全局CORS Filter解决。package com.qiaoya.inte
Spring Boot Security跨域访问 cors
Fouy_风度玉门。
09-28 1万+
文章目录未使用Security 的Boot 项目使用Security 的情况使用Security开启允许iframe嵌套 使用Spring Security 在Boot 项目中,实现前后端分离的跨域访问,只需要简单的配置即可。 未使用Security 的Boot 项目 在未使用Spring Security 的Boot 项目中,只需要在 Application.java 中添加如下代码即可 @Be...
CORS设置跨域不生效排查之路
细嗅
12-15 9811
结构:springboot2.x版本 CORS(跨域资源共享),可以把其当做是通过设置http响应头来允许不同协议、ip、port可以跨域请求。 在springboot中,一般常采用两种方式实现CORS: 一,通过拦截器的方式,通过继承WebMvcConfigurationSupport,重写addCorsMappings方法,具体代码如下: @Override protected void addCorsMappings(CorsRegistry registry) { ...
解决vue+springboot可能遇到的跨域问题和sessionid每次不同问题
单筱风的博客
04-14 1146
1.跨域问题配置类中添加 /*跨域问题*/ @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") .allowedMethod...
SpringSpring-Boot、Spring-Security中对CORS(跨域资源共享)的支持
热门推荐
盲目的拾荒者的博客
04-04 1万+
出于安全原因,浏览器禁止AJAX调用当前域之外的域的资源。跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您指定哪些类型的跨域请求是被授权的,而不是基于IFRAME或JSONP的不安全且功能较差的工作区。 Spring MVC HandlerMapping提供了对CORS的内置支持。在成功地将请求映射到处理程序之后,HandlerMapping将检查给定请求...
使用Spring Security解决CORS跨域问题
07-12
要使用Spring Security解决CORS跨域问题,可以按照以下步骤进行配置: 1. 添加CORS配置类:创建一个类,继承自`WebSecurityConfigurerAdapter`,并重写`configure(HttpSecurity http)`方法。 ```java @Configuration public class CorsConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors(); } @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.addAllowedOrigin("*"); // 允许所有来源 configuration.addAllowedMethod("*"); // 允许所有请求方法 configuration.addAllowedHeader("*"); // 允许所有请求头 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 2. 启用CORS配置:在Spring Boot应用的入口类上添加`@EnableWebSecurity`注解。 ```java @EnableWebSecurity public class MyApplication { public static void main(String[] args) { SpringApplication.run(MyApplication.class, args); } } ``` 通过以上配置Spring Security会自动处理跨域请求,并允许所有来源、所有请求方法和所有请求头。你可以根据需要调整配置,例如指定允许的来源、方法和头部信息。 请注意,如果你的应用程序中使用了其他Spring Security配置,你需要将CORS配置类的优先级调整到较低的位置,以确保CORS配置被正确应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值