Spring Boot 中遇到Insecure CORS configuration跨域问题

最新推荐文章于 2024-05-28 15:44:24 发布
最新推荐文章于 2024-05-28 15:44:24 发布
阅读量5.2k 收藏
点赞数
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32157851/article/details/80251789
版权

 

问题描述:

 

由于跨域使用了CORS(Cross-Origin ResourceSharing)这个技术,当Access-Control-Allow-Origin设置为*的时候,容易遭到攻击。


 

解决方案:

方案一:

将Access-Control-Allow-Origin设置为固定的访问URL,springboot框架中,可以使用@CrossOrigin注解,在方法的上打上这个注解。

例如:@CrossOrigin(origin= {“https://1.202.96.16:444”,”null”})

方案二:

设置响应的头信息

例如:HttpServletResponseresponse

Response.setHeader(“Access-Control-Allow-Origin”,”https://1.202.96.16:444”);

方案三:

通过写一个过滤器来进行设置响应头,并且对获取到的Access-Control-Allow-Origin这个头信息进行验证,如果验证没有通过则将此头信息设置为空。

importlombok.extern.slf4j.Slf4j;

@WebFilter(urlPatterns="/*")

@Slf4j

publicclass CorsFilter implements Filter {

@Override

publicvoid destroy() {}

public void doFilter(ServletRequest req, ServletResponse res,FilterChain chain) throws IOException, ServletException {

HttpServletResponse response = (HttpServletResponse) res;

HttpServletRequest reqs = (HttpServletRequest) req;

String header = reqs.getHeader("Origin");

if (!PubFunc.isNull(header)) {

String[]split = header.split(":");

if(split.length> 1){

Stringreplace = split[1].replace("//", "");

if("https".equals(split[0]) &&FuncUtil.Isipv4(replace) ) {

response.setHeader("Access-Control-Allow-Origin",header);

response.setHeader("Access-Control-Allow-Credentials","true");

response.setHeader("Access-Control-Allow-Methods","POST, GET, DELETE");

response.setHeader("Access-Control-Max-Age", "3600");

response.setHeader("Access-Control-Allow-Headers","x-requested-with");

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

chain.doFilter(reqs, response);

}

@Override

publicvoid init(FilterConfig arg0) throws ServletException {}

}

 

 


 

 

 

由于项目中还有一个过滤器(LoginFilter)也对此头信息有设置,所以也需要进行头信息的验证设置。


 

protectedvoid send(HttpServletRequest request, HttpServletResponseresponse, Object args){

response.setCharacterEncoding("UTF-8");

response.setContentType("application/json");

Stringheader = request.getHeader("Origin");

if(!PubFunc.isNull(header)) {

String[]split = header.split(":");

if(split.length> 1){

Stringreplace = split[1].replace("//", "");

if("https".equals(split[0]) &&FuncUtil.Isipv4(replace) ) {

response.setHeader("Access-Control-Allow-Origin",header);

response.setHeader("Access-Control-Allow-Credentials","true");

response.setHeader("Access-Control-Allow-Methods","POST, GET, DELETE");

response.setHeader("Access-Control-Max-Age", "3600");

response.setHeader("Access-Control-Allow-Headers","x-requested-with");

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

//response.setHeader("Access-Control-Allow-Origin","http://127.0.0.1");

response.setHeader("Access-Control-Allow-Credentials","true");

。。。。。。。。。。省略号。。。。。。。。。。。。。。。。。。

}

 

 

注意:

 

 

增加完过滤器以后,需要在入口类上加上一个注解(@ServletComponentScan)就可以使用了

 

 

 

 

是否为Ip的验证

 public static boolean Isipv4(String ipv4){  
        if(PubFunc.isNull(ipv4)){  
            return true;//字符串为空或者空串  
            }  
        String regex = "^(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[1-9])\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)$";
        // 判断ip地址是否与正则表达式匹配
        if (ipv4.matches(regex)) {
            // 返回判断信息
            return true;
        } else {
            // 返回判断信息
            return false;
        }
    }

 

此问题的修复还有其他两种配置的方式(链接下有不同类对Tomcat进行设置):https://www.cnblogs.com/softidea/p/5751596.html

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

非衣鲲化
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全扫描问题汇总
CNXBDSa的博客
08-09 2341
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery 4、Struts2开发模式 使用Spring MVC等其他框架,或升级Struts2最新版本 5、易受攻击的JavaScript库 更换使用的JS库、或者修改相关的JS。 一般问题: 1、HTML表单没有CSRF保护 传到后台的表单数据都没过滤、没有进行URLEncode等 2
CORS跨域资源共享安全配置
liu_xue_xue的专栏
08-07 1067
描述:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS跨域资源共享存在风险:任何网站都可以使用用户凭据发出请求并读取对这些请求的响应。相信任意来源有效地禁止了同源策略,允许第三方网站的双向交互。因此要做跨域资源共享安全处理。 具体实现: 在application.yml新增如下配置: security: #跨域相关配..
Linux WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. I.
最新发布
lizhengyu891231的博客
05-28 277
Linux WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. I.
CORS跨域问题的理解与解决方案
Garry
08-16 517
一、首先,什么是CORS? 1:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 2:它允许浏览器向跨源服务器,发出XMLHttpRequest(ajax)请求,从而克服了AJAX只能同源使用的限制。 二、看了什么是CORS,我们还要解释一个名词,什么是”同源策略(same origin policy)“? 答:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 三、看完以
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 572
传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如果这个文件声明“http:/...
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3261
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
详解如何解决canvas图片getImageData,toDataURL跨域问题
09-22
与`getImageData()`类似,`toDataURL()`方法在处理跨域图片时也会遇到问题,因为它尝试将Canvas内容转换为一个数据URL,这同样受到同源策略的限制。使用`crossOrigin`属性同样可以解决这个问题: ```javascript var...
配置设备打印时,谷歌浏览器跨域配置
03-11
在互联网的开发环境跨域问题常常困扰着开发者,尤其是涉及到网页端的测试和调试。谷歌浏览器(Chrome)作为最常用的浏览器之一,其对于跨域的处理方式是开发者需要掌握的关键技能。本文将详细介绍如何在不同版本...
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
spring项目jar包&mysql8;.0.11安装教程
06-01
在本教程,我们将深入探讨如何安装MySQL 8.0.11数据库并集成到Spring项目。MySQL 8.0.11是MySQL数据库的一个重要版本,它提供了许多性能改进和新特性,如增强的SQL语法、更好的安全性和更高的可用性。Spring框架...
开源项目-OWASP-Amass.zip
10-09
开源项目-OWASP-Amass.zip,DNS enumeration tool (written in Go) announced as an OWASP project
CORSConfiguration.java
11-08
关于运行项目测试出现的跨域问题,以此只需要添加这段代码即可 如果有啥技术问题,可以咨询我,关注本博客,在下放评论即可
CORS 跨域一篇文章就够了!Spring + Spring Security 配置!!
weixin_52834606的博客
09-06 2138
CORS 详情 ! spring 跨域解决 + spring security 解决方案 !
SpringBoot 使用Cross-Origin Resource Sharing(CORS)解决前后端分离后的跨域问题
qianye的博客
01-23 8710
一、什么是跨域 跨域,指的是浏览器不能执行其他网站的脚本,是由浏览器的同源策略造成的,是浏览器施加的安全限制。所谓同源是指,域名,协议,端口均相同。 例如: http://127.0.0.1:8850/test/index.html 调用 http://127.0.0.1:8850/test/server (非跨域) http://127.0.0.1:8850/test/index.html ...
跨域问题的产生和解决方安
qq_43578058的博客
01-14 308
跨域问题
跨域资源共享 CORS(Cross-origin resource sharing)
u012125579的专栏
03-23 7995
跨域资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会
CORS跨域问题原因和解决方案
热门推荐
蔚然成风
06-21 1万+
Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTT
使用Spring Boot的跨源CORS设置
weixin_30482181的博客
12-15 118
1. 问题 在学习Angular时,使用以下代码发起POST请求, this.http.post("http://localhost:8899/login", body, {headers: headers}) 会出现以下错误提示。 已拦截跨源请求:同源策略禁止读取位于http://localhost:8899/login的远程资源。(原因:CORS 头缺少 ...
spring boot was loaded over an insecure connection. This file should be served over HTTPS.
08-30
2. 配置Spring Boot应用程序:在Spring Boot应用程序的配置文件(application.properties或application.yml),你需要进行以下配置: a. 设置服务器端口:将服务器端口配置为默认的HTTPS端口,通常是443。 b. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值