security跨域配置

最新推荐文章于 2024-08-16 17:03:57 发布
最新推荐文章于 2024-08-16 17:03:57 发布
阅读量2.1k 收藏 5
点赞数
分类专栏: # spring security 文章标签: java spring servlet
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_34491508/article/details/126101708
版权

一、概述

1、什么是跨域

CORS是w3c指定的一种跨域资源共享的请求资源方式,体现就是协议+ip+端口三个相同才是同源,否则就是跨域,早期javaEE解决跨域方案是JSONP,Jsonp(JSON with Padding) 是 json 的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。但是jsonp只支持get方式,而CORS支持多种请求方式,是目前主流的跨域解决方案

2、CORS解决跨域过程

cors新增了一组http请求头字段,通过这些字段,服务器告诉浏览器,哪些网络通过浏览器有访问权限,同时规定,对那些可能修改服务器数据的http请求方法(如get以为的http请求等),浏览器首先必须使用options请求发起一个预检请求,预检请求的目的就是查看服务器是否支持即将发起的跨域请求,如果服务端允许才发实际的http请求,在预检请求的返回中,服务端也可以通知客户端,是否需要携带身份凭证,如cookies、http认证信息等

3、简单请求

4、复杂请求

二、跨域解决方案

1、springmvc中的注解方式@CrossOrigin

该注解可以加在方法上也可以加在controller类上,加在类上所有方法支持跨域,@CrossOrigin支持的属性如下

  • alowCredentials:浏览器是否应当发送凭证信息入Cookie
  • allowedHeaders:请求被允许的请求头字段 * 标识所有字段
  • exposedHeaders:哪些响应头可以作为响应的一部分暴露出来
  • maxAge:预检请求的有效期 有效期内不必再次发送预检请求 默认是1800秒
  • methods:允许的请求方法 * 标识允许所有的方法
  • origins:允许的域 可以多个,* 标识允许所有的域
    @RequestMapping("/touser")
    @CrossOrigin(origins = {"localhost:8081","localhost:8082"})
    public String toUser(){
        return "user";
    }

2、springmvc中的配置方式

自定义springmvc配置WebMvcConfigurer类中的addCorsMappings方法 全局处理

@Configuration
public class ConfigMy implements WebMvcConfigurer {
    /**
     * 跨域
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")//对哪些请求进行跨域
                .allowedOrigins("http://localhost:8082","http://localhost:8081","http://localhost:8080")
                .allowCredentials(false)
                .allowedMethods("GET", "POST")
                .allowedHeaders("*")
                .maxAge(3600);
    }
}

3、spring web过滤器CrosFilter方式

@Configuration
public class ConfigMy {
    @Bean
    FilterRegistrationBean<CorsFilter> corsFilter(){
        FilterRegistrationBean<CorsFilter> registrationBean = new FilterRegistrationBean<CorsFilter>();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedOrigins(Arrays.asList("http://localhost:8080"));
        corsConfiguration.setMaxAge(3600L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfiguration);
        registrationBean.setFilter(new CorsFilter(source));
        //指定filter顺序 -1标识在所有内置filter之前执行
        registrationBean.setOrder(-1);
        return registrationBean;
    }
}

4、springsecurity跨域解决方案

引入security之后上面的@ CrossOrigin和配置方式都会失效,crosfilter是否失效取决于过滤器和security自带过滤器顺序

filter 、dispatchserServlet以及intercepter执行顺序

client->web filter(sercurity filter)->dispatchserServlet->intercepter->controller

对于非简单请求都会发起一个预检请求,预检请求不会携带认证信息,所以会被security拦截,因此通过@ CrossOrigin和配置处理跨域都是失效的,如果crosfilter执行顺序高于security,那有效的,security解决跨域方式

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().formLogin()
                //增加跨域以及相关配置
                .and().cors().configurationSource(configurationSource())
                .and().csrf().disable();
    }
    //跨域配置
    CorsConfigurationSource configurationSource(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedHeaders(Arrays.asList("*"));
        corsConfiguration.setAllowedMethods(Arrays.asList("*"));
        corsConfiguration.setAllowedOrigins(Arrays.asList("http://localhost:8080"));
        corsConfiguration.setMaxAge(3600L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }
}
程序三两行
关注
专栏目录
配置设备打印时,谷歌浏览器跨域配置
03-11
本文将详细介绍如何在不同版本的谷歌浏览器中进行跨域配置。 首先,我们来看如何查看浏览器的版本号。在Chrome浏览器中,点击右上角的三个点,选择“关于 Chrome”,这里会显示浏览器的当前版本信息,这对于了解...
(新)Spring Security如何实现跨域
weixin_55772633的博客
06-23 398
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求。默认情况下是被禁止的。同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。所以我们就要处理一下,让前端能进行跨域请求。
【深入浅出 Spring Security(九)】解决跨域问题和 Axios 所需配置
qq_63691275的博客
06-12 1880
在解决跨域问题时,由于集成了 Spring Security,登录后需要进行认证,认证完请求服务器端要认证的资源需要携带其认证的Cookie(也就是那个SessionID,表明已经认证了)。那么在前端使用 Axios 发送跨域请求的时候,就需要配置 axios.defaults.withCredentials = true 。这是用于控制在发送跨域请求时是否携带身份凭证的(例如 Cookie、Http认证等),当然后端也需要配置
springSpringboot设置跨域访问 & Spring Security设置跨域访问
最新发布
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 491
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security
SpringSecurity跨域
Littewood的博客
07-24 5988
SpringSecurity跨域解决
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3617
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
Spring Security——09,解决跨域
weixin_42858422的博客
04-07 2004
因为它不是浏览器,所以我们要找一个前端的项目,就随便找了一个vue工程。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。修改一下登录页面,认证登录成功之后,把返回的token接收,存入localStorage。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。然后看一下,响应,都没有问题,OK,这个账号是有这个权限的。然后测试一下,登录成功,解决跨域请求,拿到token。填入一个正确的密码,认证成功。
SpringCloud】Spring Security解决跨域问题、自定义校验方法
See_Star的博客
04-03 2380
SpringSecurity前后端解决跨域问题、权限校验方法等
ArcGIS JS API跨域配置 Proxy 代理
01-21
"ArcGIS JS API跨域配置 Proxy 代理" ArcGIS JS API 跨域配置是指在 JS 开发中遇到的访问本地服务和外网服务的问题,需要使用 Proxy 代理来解决跨域访问文件的问题。ArcGIS 的帮助中已经有了相关的介绍和使用配置。...
magento2跨域处理包
12-06
为了解决这个问题,Magento 2 提供了跨域处理包,使开发者能够配置并允许来自其他域的请求。 **跨域资源共享(CORS)基础** 跨域资源共享是一种机制,它使用额外的HTTP头来告诉浏览器允许一个域上的网页访问另一个...
Spring Security使用中Preflight请求和跨域问题详解
08-28
总结来说,Spring Security在处理跨域请求时,需要关注两个关键点:一是配置CORS过滤器以允许指定的跨域请求,二是确保Spring Security配置能正确处理Preflight(OPTIONS)请求。理解这两个概念以及它们在实际应用中...
geoserver cors跨域
08-25
在实际开发中,了解并正确配置CORS不仅对解决GeoServer跨域问题至关重要,而且也是确保Web应用程序安全和性能的关键步骤。因此,理解CORS的工作原理和如何在GeoServer中配置它,对于GIS开发人员来说是非常重要的技能...
Spring Boot与Spring Security跨域解决方案
2301_77899321的博客
09-25 1330
Spring Boot与Spring Security跨域解决方案。
前后端分离SpringSecurity跨域问题解决方案(亲测可用)
Code_Guan的博客
12-06 1795
SpringBoot使用SpringSecurity跨域问题,解决方案,亲测可用
Springboot +spring security,解决跨域问题
weixin_40991408的博客
05-26 2341
Springboot +spring security,解决跨域问题
解决!【启用了SecuritySpringBoot项目跨域问题】以及【post请求403错误】
weixin_45928161的博客
04-11 2278
解决!【启用了SecuritySpringBoot项目跨域问题】以及【post请求403错误】
SpringSecurity跨域配置
weixin_64443786的博客
07-13 1763
SpringSecurity
跨域问题以及解决方案
热门推荐
lixianhe的博客
05-11 1万+
SpringBoot解决跨域问题(四种方案)
Spring Security系列教程之解决Spring Security环境中的跨域问题
xu_hui123的博客
12-08 5711
实现WebMvcConfigurer接口来解决跨域问题 二. Spring Security环境下的跨域问题解决 通过上面的配置,我们已经解决了Ajax的跨域请求问题,但是这个案例中也有潜在的威胁存在,常见的就是 CSRF(Cross-site request forgery) 跨站请求伪造。跨站请求伪造也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法
security 跨域配置
05-24
在 Web 应用程序中,浏览器通常会限制从一个域名加载另一个域名的资源。这就是跨域问题,为了解决这个问题,需要在服务器端配置跨域资源共享(CORS)。 以下是一些常见的跨域配置: 1. 使用 Access-Control-Allow-Origin 头:服务器可以通过 HTTP 头部发送 Access-Control-Allow-Origin 头来指定允许访问资源的域名。例如,在服务器响应中包含以下头信息: ``` Access-Control-Allow-Origin: http://example.com ``` 这将允许 http://example.com 域名的 JavaScript 访问资源。 2. 使用 JSONP:JSONP 是一种在不同域之间进行资源共享的技术。通过 JavaScript 动态创建一个 script 标签,将需要访问的资源作为参数传递给服务器。服务器会将结果包装在一个回调函数中返回,客户端通过该函数进行处理。 3. 使用代理服务器:在一些情况下,可以通过设置代理服务器来解决跨域问题。代理服务器将客户端请求转发到目标服务器,并将响应返回给客户端。由于代理服务器与目标服务器在同一域中,因此不存在跨域问题。 上述方法都可以用来解决跨域问题,选择哪种方式取决于具体的应用场景和需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序三两行

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值