Spring Boot 中遇到Insecure CORS configuration跨域问题

最新推荐文章于 2023-05-17 20:44:13 发布
最新推荐文章于 2023-05-17 20:44:13 发布
阅读量5.2k 收藏
点赞数
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32157851/article/details/80251789
版权

 

问题描述:

 

由于跨域使用了CORS(Cross-Origin ResourceSharing)这个技术,当Access-Control-Allow-Origin设置为*的时候,容易遭到攻击。


 

解决方案:

方案一:

将Access-Control-Allow-Origin设置为固定的访问URL,springboot框架中,可以使用@CrossOrigin注解,在方法的上打上这个注解。

例如:@CrossOrigin(origin= {“https://1.202.96.16:444”,”null”})

方案二:

设置响应的头信息

例如:HttpServletResponseresponse

Response.setHeader(“Access-Control-Allow-Origin”,”https://1.202.96.16:444”);

方案三:

通过写一个过滤器来进行设置响应头,并且对获取到的Access-Control-Allow-Origin这个头信息进行验证,如果验证没有通过则将此头信息设置为空。

importlombok.extern.slf4j.Slf4j;

@WebFilter(urlPatterns="/*")

@Slf4j

publicclass CorsFilter implements Filter {

@Override

publicvoid destroy() {}

public void doFilter(ServletRequest req, ServletResponse res,FilterChain chain) throws IOException, ServletException {

HttpServletResponse response = (HttpServletResponse) res;

HttpServletRequest reqs = (HttpServletRequest) req;

String header = reqs.getHeader("Origin");

if (!PubFunc.isNull(header)) {

String[]split = header.split(":");

if(split.length> 1){

Stringreplace = split[1].replace("//", "");

if("https".equals(split[0]) &&FuncUtil.Isipv4(replace) ) {

response.setHeader("Access-Control-Allow-Origin",header);

response.setHeader("Access-Control-Allow-Credentials","true");

response.setHeader("Access-Control-Allow-Methods","POST, GET, DELETE");

response.setHeader("Access-Control-Max-Age", "3600");

response.setHeader("Access-Control-Allow-Headers","x-requested-with");

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

}else{

response.setHeader("Access-Control-Allow-Origin","");

}

chain.doFilter(reqs, response);

}

@Override

publicvoid init(FilterConfig arg0) throws ServletException {}

}

 

 


 

 

 

由于项目中还有一个过滤器(LoginFilter)也对此头信息有设置,所以也需要进行头信息的验证设置。


 

protectedvoid send(HttpServletRequest request, HttpServletResponseresponse, Object args){

response.setCharacterEncoding("UTF-8");

response.setContentType("application/json");

Stringheader = request.getHeader("Origin");

if(!PubFunc.isNull(header)) {

String[]split = header.split(":");

if(split.length> 1){

Stringreplace = split[1].replace("//", "");

if("https".equals(split[0]) &&FuncUtil.Isipv4(replace) ) {

response.setHeader("Access-Control-Allow-Origin",header);

response.setHeader("Access-Control-Allow-Credentials","true");

response.setHeader("Access-Control-Allow-Methods","POST, GET, DELETE");

response.setHeader("Access-Control-Max-Age", "3600");

response.setHeader("Access-Control-Allow-Headers","x-requested-with");

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

}else{

response.setHeader("Access-Control-Allow-Origin",null);

}

//response.setHeader("Access-Control-Allow-Origin","http://127.0.0.1");

response.setHeader("Access-Control-Allow-Credentials","true");

。。。。。。。。。。省略号。。。。。。。。。。。。。。。。。。

}

 

 

注意:

 

 

增加完过滤器以后,需要在入口类上加上一个注解(@ServletComponentScan)就可以使用了

 

 

 

 

是否为Ip的验证

 public static boolean Isipv4(String ipv4){  
        if(PubFunc.isNull(ipv4)){  
            return true;//字符串为空或者空串  
            }  
        String regex = "^(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|[1-9])\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)\\."
                + "(1\\d{2}|2[0-4]\\d|25[0-5]|[1-9]\\d|\\d)$";
        // 判断ip地址是否与正则表达式匹配
        if (ipv4.matches(regex)) {
            // 返回判断信息
            return true;
        } else {
            // 返回判断信息
            return false;
        }
    }

 

此问题的修复还有其他两种配置的方式(链接下有不同类对Tomcat进行设置):https://www.cnblogs.com/softidea/p/5751596.html

 

 

 

 


 

 

 

 

 

 

 

 

 

 

 

非衣鲲化
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
跨域资源共享 CORS(Cross-origin resource sharing)
u012125579的专栏
03-23 7967
跨域资源共享 CORS(Cross-origin resource sharing)一、简介 CORS需要浏览器和服务器同时支持。目前,IE浏览器不能低于IE10。其他所有浏览器都支持该功能 整个CORS通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信没有差别,代码完全一样。浏览器一旦发现AJAX请求跨源,就会自动添加一些附加的头信息,有时还会
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
Full-Stack-Ecommerce-Spring-Boot-React:一个全栈Web应用程序,后端有Spring Boot,前端有React。 两者都使用Maven构建系统进行构建,并通过dockerized进行部署
05-14
弹簧启动React 这是一个由Spring Boot和ReactJs在前端组成的全栈Web应用程序。 有关此的博客文章是 本地设置 在系统上安装和docker-compose。 为您的系统安装psql ,该系统是Postgresql数据库的客户端。 进入系统的根目录 运行docker-compose up --build 容器启动并运行后,运行psql -h 127.0.0.1 -d flamup -p 5432 -U postgres -c "\copy clothes FROM 'data2.csv' DELIMITER ',' CSV"; 。 现在继续 ,该应用程序应该已启动并正在运行。 注意事项 如果您使用的是chrome,请转到chrome:// flags /#allow-insecure-localhost并启用显示“允许从本地主机加载的资源使用无效证书”的选项。
解压版MYSQL文乱码问题解决方案
01-19
安装的是解压版的MYSQL 1:解压之后copy 一个my.ini文件 然后添加字节编码配置: [client] default-character-set=gbk [mysqld] character-set-server=utf8 指定数据库配置文件bin\mysqld –defaults-file=my.ini –initialize-insecure 指定配置文件my.ini(如果忽略这一步骤的话,配置my.ini将不会生效,有点小坑) 安装数据库:bin/mysqld –install 启动数据库服务:net start mysql (windows环境下) 2:创建数据库时候指定
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以“安全”模式来运行,即使已经ROOT。这款应用能让您以“非安全”模式运行adbd,让“adb shell”拥有ROOT权限,允许通过“adb push/pull”直接访问系统文件和目录,并通过运行“adb remount”命令来让您的/system/分区可写。 主要功能: - 通过“patch(打补丁)”的方式来对一些系统文件进行破解,不会对您的系统进行永久的更改,重启后就会恢复原始状态,不必担心会出现问题 注意事项: - 您的设备必须已经ROOT才能让adbd Insecure工作,并且可能无法在“S-ON”和已锁定bootloader的设备上工作 - 如果在有应用激活或停用adbd的情况下连接USB,则需要拔出/重新插入数据线或运行“adb kill-server”命令才能让adb重新工作 更新日志: - 修复三星Galaxy S4上的问题 小编点评:拥有开机自动启用超级adbd模式选项,省去您频繁操作的烦恼。
CORSConfiguration.java
11-08
关于运行项目测试出现的跨域问题,以此只需要添加这段代码即可 如果有啥技术问题,可以咨询我,关注本博客,在下放评论即可
WEB安全扫描问题汇总
CNXBDSa的博客
08-09 2288
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery 4、Struts2开发模式 使用Spring MVC等其他框架,或升级Struts2最新版本 5、易受攻击的JavaScript库 更换使用的JS库、或者修改相关的JS。 一般问题: 1、HTML表单没有CSRF保护 传到后台的表单数据都没过滤、没有进行URLEncode等 2
CORS跨域资源共享安全配置
liu_xue_xue的专栏
08-07 1037
描述:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS跨域资源共享存在风险:任何网站都可以使用用户凭据发出请求并读取对这些请求的响应。相信任意来源有效地禁止了同源策略,允许第三方网站的双向交互。因此要做跨域资源共享安全处理。 具体实现: 在application.yml新增如下配置: security: #跨域相关配..
CORS跨域问题的理解与解决方案
Garry
08-16 499
一、首先,什么是CORS? 1:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 2:它允许浏览器向跨源服务器,发出XMLHttpRequest(ajax)请求,从而克服了AJAX只能同源使用的限制。 二、看了什么是CORS,我们还要解释一个名词,什么是”同源策略(same origin policy)“? 答:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 三、看完以
Cross-Origin Resource Sharing协议介绍
weixin_34055787的博客
09-16 560
传统的Ajax请求只能获取在同一个域名下面的资源,但是HTML5打破了这个限制,允许Ajax发起跨域的请求。浏览器是可以发起跨域请求的,比如你可以外链一个外域的图片或者脚本。但是Javascript脚本是不能获取这些资源的内容的,它只能被浏览器执行或渲染。 在Flash和Silverlight,服务器需要创建一个crossdomain.xml的文件来允许跨域请求。如果这个文件声明“http:/...
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 2660
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
telnet-iot-honeypot-master_Insecure_iot_honeypot_telnet_
10-03
Python telnet honeypot for catching botnet binaries'This project implements a python telnet server trying to act as a honeypot for IoT Malware which spreads over horribly insecure default passwords on telnet servers on the internet.
开源项目-OWASP-Amass.zip
10-09
开源项目-OWASP-Amass.zip,DNS enumeration tool (written in Go) announced as an OWASP project
Cors跨域请求,解决方法
weixin_45883611的博客
05-17 418
创建一个配置文件 package com.mashibing.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.UrlBasedCor.
SpringBoot实现CORS
weixin_38424881的博客
06-17 143
SpringBoot实现CORS 新建一个类 @Configuration public class CorsConfig { private CorsConfiguration buildConfig() { CorsConfiguration corsConfiguration = new CorsConfiguration(); corsConfiguration.addAllowedOrigin("*"); corsConfiguration.
CorsConfig 跨域 初认识
沉淀、分享、成长,让自己和他人都能有所收获!
05-17 1071
分析次报错是因为 服务访问的时候被判定为断域,跨域的打头兵,其实跨域还么有发出去跨域请求的流程: 浏览器 先会给服务器发送一个 预检请求 ,服务器 返回同意不同意 ,同意的话 浏览器 在发送真实的请求 ,服务再返回响应成功是否。
CORS 跨域一篇文章就够了!Spring + Spring Security 配置!!
weixin_52834606的博客
09-06 1766
CORS 详情 ! spring 跨域解决 + spring security 解决方案 !
跨域问题的产生和解决方安
qq_43578058的博客
01-14 300
跨域问题
CORS跨域问题原因和解决方案
热门推荐
蔚然成风
06-21 1万+
Springboot跨域问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 - 跨域只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 - 跨域请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 - 之所以会跨域,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTT
spring boot was loaded over an insecure connection. This file should be served over HTTPS.
最新发布
08-30
这个问题的原因是Spring Boot应用程序在不安全的连接上加载了文件,而应该通过HTTPS进行传输。解决这个问题的方法是通过配置Spring Boot应用程序来启用HTTPS连接。你可以按照以下步骤进行操作: 1. 获取SSL证书:你需要获得一个有效的SSL证书,可以通过购买或使用免费的SSL证书来获取。SSL证书用于加密和保护传输的数据。 2. 配置Spring Boot应用程序:在Spring Boot应用程序的配置文件(application.properties或application.yml),你需要进行以下配置: a. 设置服务器端口:将服务器端口配置为默认的HTTPS端口,通常是443。 b. 启用HTTPS:设置`server.ssl.enabled=true`,这将启用HTTPS连接。 c. 配置SSL证书路径和密码:设置`server.ssl.key-store`为SSL证书的路径,设置`server.ssl.key-store-password`为SSL证书的密码。 d. 强制使用HTTPS:设置`server.servlet.session.cookie.secure=true`,这将强制使用HTTPS连接。 3. 配置反向代理:如果你的Spring Boot应用程序在反向代理服务器后面运行(如Nginx),你还需要在反向代理服务器上进行配置,以将HTTPS请求转发到Spring Boot应用程序。 通过以上步骤,你可以配置Spring Boot应用程序以通过HTTPS进行传输,解决"spring boot was loaded over an insecure connection. This file should be served over HTTPS."的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [docker-compose部署vue+springboot+mysql+nginx+redis](https://blog.csdn.net/Matt_Charles/article/details/121343911)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值