CORS设置跨域不生效排查之路

最新推荐文章于 2024-03-23 10:38:11 发布
最新推荐文章于 2024-03-23 10:38:11 发布
阅读量9.4k 收藏 13
点赞数 11
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34339137/article/details/111195894
版权

结构:springboot2.x版本

CORS(跨域资源共享),可以把其当做是通过设置http响应头来允许不同协议、ip、port可以跨域请求。

在springboot中,一般常采用两种方式实现CORS:

一,通过拦截器的方式,通过继承WebMvcConfigurationSupport,重写addCorsMappings方法,具体代码如下:

    @Override
    protected void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
        .allowCredentials(true)
        .allowedHeaders("*")
        .allowedMethods("*")
        .allowedOrigins("*");
        super.addCorsMappings(registry);
  }

二,通过过滤器的方式,具体代码如下:

    @Configuration
    public class GlobalCorsConfig {
        @Bean
        public CorsFilter corsFilter() {
            CorsConfiguration config = new CorsConfiguration();
            //开放哪些ip、端口、域名的访问权限,星号表示开放所有域
            config.addAllowedOrigin("*");
            //是否允许发送Cookie信息
            config.setAllowCredentials(true);
            //开放哪些Http方法,允许跨域访问
            config.addAllowedMethod("GET","POST", "PUT", "DELETE");
            //允许HTTP请求中的携带哪些Header信息
            config.addAllowedHeader("*");
            //添加映射路径,“/**”表示对所有的路径实行全局跨域访问权限的设置
            UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
            configSource.registerCorsConfiguration("/**", config);
            return new CorsFilter(configSource);
        }
  }

接下来,我们对上述两种方式,存在失效情况分别描述:

方式1,可能失效的情况如下:

第一: 如果一个项目中存在多个WebMvcConfigurationSupport或者WebMvcConfigurerAdapter,可能会导致设置的允许跨域addCorsMappings不生效。

第二:如果一个项目中存在多个自定义的拦截器,执行顺序导致设置跨域失效,伪代码如下:

如上,执行顺序是从上至下的,导致业务拦截器先执行,本应该跨域拦截器在业务拦截器前执行。

 

方式2,使用过滤器的方式,我们应该知道过滤器是先与拦截器执行的。所以,这是我们就不要考虑到和拦截器冲突问题。其实,我项目中采用的就是这种方式,过滤器设置CORS允许跨域请求,拦截器处理业务代码(问题出现在拦截器中)。

出现CORS设置不生效时,程序的结构是,存在GlobalCorsConfig的设置就是方式二的设置,然后就是一个业务的拦截器,伪代码如下:

拦截器中代码也很简单,就是验证请求中的key是否合法,合法则不拦截,不合法拦截并响应,代码如下:

也就是采用response流输出的时候,调用了reset()函数,还记得最开头的时候,CORS设置可以简单的理解为对response设置请求头,或者你也会看到另外一种写法,如下:(也是对CORS设置的一种方式)

        HttpServletResponse response = (HttpServletResponse) res;
        String allowedOriginsUrl = configurationUtil.getAllowedOriginsUrl();
        String[] allowedOriginsUrlArr = allowedOriginsUrl.split(",");
        for(String temp : allowedOriginsUrlArr){
            response.setHeader("Access-Control-Allow-Origin",temp); // 允许的来源
        }
        response.setHeader("Access-Control-Allow-Credentials", "true"); // 是否允许证书
        response.setHeader("Access-Control-Allow-Methods", "*"); // 允许的请求方式
        response.setHeader("Access-Control-Max-Age", "3600"); // 预检请求的有效期
        response.setHeader("Access-Control-Allow-Headers", "*");
        chain.doFilter(req, res);

由此,可以更清楚的看出,其实就是response设置了头部header,来实现允许跨域请求。那上面的问题就很明显了,到过滤器的时候,设置了response的响应头允许跨域,但到了拦截器的时候,又把reponse重置了,导致设置的不生效。

 

结论:

1.采用CORS方式,设置允许跨域时,推荐filter的方式,这种方式先于拦截器执行。

2.如果遇到不生效的情况下,我们先采用一种最简单的方式来设置允许跨域,如果可行,放在你项目中不能使用,需要排查是否存在冲突问题了

3.解决跨域还有其他的多种方案(推荐采用代理nginx、网关方式)

 

 

Wesuter
关注
  • 11
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot 跨域设置
zgqcs55的博客
01-30 420
Http请求跨源时,如果后端不加 CORS 的配置,返回的 HTTP 头信息中不会包含 Access-Control-Allow-Origin,因此浏览器会报出如下错误: 解决办法,是在服务器端添加CORS配置,常见配置的含义是: Access-Control-Allow-Methods: 真实请求允许的方法 Access-Control-Allow-Headers: 服务器允许使用的字...
配置跨域和拦截器仍会显示跨域
最新发布
qq_63431773的博客
03-23 414
我的项目是前后端分离的项目,后端配置了跨域以及拦截器跨域代码拦截器。
JS跨域解决方案之使用CORS实现跨域
11-24
引言        跨域是我在日常面试中经常会问到的问题,这词在前端界出现的频率不低,主要原因还是由于安全限制(同源策略, 即JavaScript或Cookie只能访问同域下的内容),因为我们在日常的项目开发时会不可避免的需要进行跨域操作,所以跨域能力也算是前端工程师的基本功之一。   和大多数跨域的解决方案一样,JSONP也是我的选择,可是某天PM的需求变了,某功能需要改成支持POST,因为传输的数据量比较大,GET形式搞不定。所以折腾了下闻名已久的CORS跨域资源共享,Cross-Origin Resource Sharing),这边文章也就是折腾期间的小记与总结。 •CORS能做什么
SpringBoot 配置跨域问题处理
John的博客
07-17 900
目前我只用一种方法,跨域专门用跨域过滤处理 CorsFilter 然后通过bean注入交给spring容器一并处理该过程,我们只负责进行配置即可。在这我需要讲解一下AllowCredentialsAllowedOrigins 匹配使用 ,AllowCredentials 含义就允许携带的认证值进行访问,如果AllowedOrigins为* 全部的话,AllowCredentials 必须为false 否则无效,AllowedOrigins 指定某一些地址,AllowCredenti...
fetch 跨域 SpringBoot credentials mode is include setAllowCredentials
Cribug8080的博客
04-25 3696
credentials mode is 'include'是请求带cookie function fetchFn(){ let myHeaders = new Headers({ 'Access-Control-Allow-Origin': '*', 'Content-Type': 'text/plain', 'Cache-Control': '...
解决项目跨域问题
白夜行悟空
06-29 1637
1 跨域问题 1.1 什么是跨域 跨域是指跨域名的访问,以下情况都属于跨域跨域原因说明 示例 域名不同 www.jd.com 与 www.taobao.com 域名相同,端口不同 www.jd.com:8080 与 www.jd.com:8081 二级域名不同 item.jd.com 与 miaosha.jd.com 如果域名和端口都相同,但是请求路径不同,不属于跨域,如: www.jd.com/item www.jd.com/goods 而从manage.leyou.com
跨域访问
进行中
11-06 722
1、在springboot2 中,设置前端运行跨域访问只需要在启动类上加一个Bean就行 /** * 跨域问题 */ @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); // 允许所有的访问 config.addAllowedOrigin("*"); config.addAllowedHe
springcloud微服务中跨域配置
ldcaws的专栏
10-20 6038
当业务微服务集成了security+oauth2,会出现跨域失效的情况,需要在WebSecurityConfig配置类和ResourceServerConfig配置类中开启CORS,如下。当gateway网关微服务集成了security+oauth2,又会出现跨域问题,则需要在ResourceServerConfig配置类中加入跨域过滤器,如下。当gateway网关服务设置跨域,业务微服务也设置跨域,则需要在网关的配置里加上重复请求头,如。注:需要去掉业务微服务的跨域配置,防止多次跨域配置。
vue项目部署的跨域问题解决
weixin_42260782的博客
04-26 8744
跨域问题在前后端分离项目很常见,至于为什么会跨域,同源策略,百度各种博客都很详细,这里不再介绍,主要记录项目中的各种设置,解决的过程。 首先是后端: 过滤器: @Configuration public class GlobalCorsConfig { /** * 允许跨域调用的过滤器 */ @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsCon
JS跨域请求处理
CDHong.it的技术分享博客
05-23 693
文章目录JS跨域请求处理解决方案CORS代码提现SpringMVC跨越处理 JS跨域请求处理 无法跨域调用,错误如下 解决方案CORS CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。 它允许浏览器向跨源服务器,发出XMLHttpReque...
你可能不知道的CORS跨域资源共享
10-17
主要给大家介绍了关于CORS跨域资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Django通过设置CORS解决跨域问题
01-19
一、Ajax 跨域请求 Ajax 请求一个目标地址为非本域(协议、主机、端口任意一个不同)的 web 资源。 前端 http://192.168.10.50:8080 后端 http://192.168.10.50:8000 Ajax 跨域请求保护的作用:防止跨站的攻击。 ...
Spring security oauth2 client_credentials认证 最简单示例代码
weixin_30918633的博客
01-17 547
基于spring-boot-2.0.0 1,在pom.xml中添加: <!-- security --> <!-- https://mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2 --> ...
SpringBoot配置Cors解决跨域请求问题
weixin_42571463的博客
12-28 383
一、同源策略简介 再此声明来源于:https://www.cnblogs.com/yuansc/p/9076604.html 这里供自己学习参考。 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 什么是源 源[origin]就是协议、域名和端口号。例如:http://www.baid...
跨域 问题:When allowCredentials is true, allowedOrigins cannot contain the specia
m0_51426110的博客
09-02 977
解决办法:跨域配置报错,将.allowedOrigins替换成.allowedOriginPatterns即可。 修改前 @Configuration public class WebMvcConfig implements WebMvcConfigurer { /** * 开启跨域 */ @Override public void addCorsMappings(CorsRegistry registry) { // 设置允许跨域的路由 registry.addMapping("/**
CDN惹的祸:记一次使用OSS设置跨域资源共享(CORS不生效的问题
weixin_38170695的博客
08-14 1356
原文: https://www.lastupdate.net/4669.html 昨天H5组的开发反馈了一个问题,说浏览器收不到跨域的配置,提示:Failed to load https://nnmjstore.xxx.com/records/34e38a6b-0aaf-4bc3-af73-1d9dffcdb6f8_cdhzmj_15: No 'Access-Control-Allo...
CORS跨域资源共享)错误配置漏洞的高级利用
mingyqf的博客
11-14 1072
secist 2019-06-05 15:00:51 1077577 4 *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 嗨,大家好!我是来自摩洛哥的安全研究员Ayoub。本文我将为大家介绍两种CORS错误配置漏洞利用的情况:第一种情况是基于XSS,第二种情况是基于高级的CORS利用技术。 注意:在开始阅读本文之前,你需要基本了解CORS是什么以及如何利用其错误配置漏洞。这里有一些很很不错的文章你可以参阅学习: Portswigger’s
关于addCorsMappings跨域配置不生效问题概述
qq_38438909的博客
05-15 4803
文章目录原配置错误消息解决办法 原配置 /** * @Author: huangqh * @Date: 2020/3/6 10:17 */ @Configuration public class CorsConfiguration { @Bean public WebMvcConfigurer corsConfigurer(){ return new WebMvcConfigurer() { @Override publi
java后端cors跨域设置白名单
11-25
Java后端cors跨域设置白名单可以通过以下步骤实现: 1. 在web.xml文件中添加CorsFilter过滤器。 2. 在CorsFilter过滤器中设置允许跨域的域名白名单,可以使用通配符*表示允许所有域名跨域访问。 3. 在CorsFilter过滤器中设置允许跨域的请求方法,例如GET、POST等。 4. 在CorsFilter过滤器中设置允许跨域的请求头,例如Content-Type、Authorization等。 5. 在CorsFilter过滤器中设置允许跨域的响应头,例如Access-Control-Allow-Origin、Access-Control-Allow-Methods等。 具体实现可以参考以下代码: ``` public class CorsFilter implements Filter { private String allowOrigin; private String allowMethods; private String allowCredentials; private String allowHeaders; private String exposeHeaders; @Override public void init(FilterConfig filterConfig) throws ServletException { allowOrigin = filterConfig.getInitParameter("allowOrigin"); allowMethods = filterConfig.getInitParameter("allowMethods"); allowCredentials = filterConfig.getInitParameter("allowCredentials"); allowHeaders = filterConfig.getInitParameter("allowHeaders"); exposeHeaders = filterConfig.getInitParameter("exposeHeaders"); } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) servletResponse; HttpServletRequest request = (HttpServletRequest) servletRequest; if (StringUtils.isNotBlank(allowOrigin)) { response.setHeader("Access-Control-Allow-Origin", allowOrigin); } if (StringUtils.isNotBlank(allowMethods)) { response.setHeader("Access-Control-Allow-Methods", allowMethods); } if (StringUtils.isNotBlank(allowCredentials)) { response.setHeader("Access-Control-Allow-Credentials", allowCredentials); } if (StringUtils.isNotBlank(allowHeaders)) { response.setHeader("Access-Control-Allow-Headers", allowHeaders); } if (StringUtils.isNotBlank(exposeHeaders)) { response.setHeader("Access-Control-Expose-Headers", exposeHeaders); } filterChain.doFilter(request, response); } @Override public void destroy() { } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值