spring Cors拦截流程

最新推荐文章于 2024-06-17 11:28:04 发布
最新推荐文章于 2024-06-17 11:28:04 发布
阅读量2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scmike/article/details/79813646
版权

Cors跨域拦截实现过程

所有的请求都进入CorsFilterdoFilterInternal方法

org.springframework.web.filter.CorsFilter

//在这里过滤所有请求

@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
      FilterChain filterChain) throws ServletException, IOException {

   if (CorsUtils.isCorsRequest(request)) {
      CorsConfiguration corsConfiguration = this.configSource.getCorsConfiguration(request);
      if (corsConfiguration != null) {
         boolean isValid = this.processor.processRequest(corsConfiguration, request, response);
         //这里是org.springframework.web.cors.DefaultCorsProcessor类方法processRequest 理请求是否符合规则

if (!isValid || CorsUtils.isPreFlightRequest(request)) {//fasle时放行请求;true时     拦截return
            return;
         }
      }
   }

   filterChain.doFilter(request, response);
}

org.springframework.web.cors.DefaultCorsProcessor

@Override
@SuppressWarnings("resource")
public boolean processRequest(CorsConfiguration config, HttpServletRequest request, HttpServletResponse response)
      throws IOException {

   if (!CorsUtils.isCorsRequest(request)) {
      return true;
   }

   ServletServerHttpResponse serverResponse = new ServletServerHttpResponse(response);
   if (responseHasCors(serverResponse)) {
      logger.debug("Skip CORS processing: response already contains \"Access-Control-Allow-Origin\" header");
      return true;
   }

   ServletServerHttpRequest serverRequest = new ServletServerHttpRequest(request);
   if (WebUtils.isSameOrigin(serverRequest)) {//若是同源直接放行,不同源继续执行
      logger.debug("Skip CORS processing: request is from same origin");
      return true;
   }

   boolean preFlightRequest = CorsUtils.isPreFlightRequest(request);
   if (config == null) {
      if (preFlightRequest) {
         rejectRequest(serverResponse);
         return false;
      }
      else {
         return true;
      }
   }

   return handleInternal(serverRequest, serverResponse, config, preFlightRequest);
}

 

 

/**

 * Handle the given request.

 */

protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,

CorsConfiguration config, boolean preFlightRequest) throws IOException {

 

String requestOrigin = request.getHeaders().getOrigin();

String allowOrigin = checkOrigin(config, requestOrigin);

 

HttpMethod requestMethod = getMethodToUse(request, preFlightRequest);

List<HttpMethod> allowMethods = checkMethods(config, requestMethod);

 

List<String> requestHeaders = getHeadersToUse(request, preFlightRequest);

List<String> allowHeaders = checkHeaders(config, requestHeaders);

 

if (allowOrigin == null || allowMethods == null || (preFlightRequest && allowHeaders == null)) {

          //这里去判断是否符合配置单规则

rejectRequest(response);

return false;

}

 

HttpHeaders responseHeaders = response.getHeaders();

responseHeaders.setAccessControlAllowOrigin(allowOrigin);

responseHeaders.add(HttpHeaders.VARY, HttpHeaders.ORIGIN);

 

if (preFlightRequest) {

responseHeaders.setAccessControlAllowMethods(allowMethods);

}

 

if (preFlightRequest && !allowHeaders.isEmpty()) {

responseHeaders.setAccessControlAllowHeaders(allowHeaders);

}

 

if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {

responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());

}

 

if (Boolean.TRUE.equals(config.getAllowCredentials())) {

responseHeaders.setAccessControlAllowCredentials(true);

}

 

if (preFlightRequest && config.getMaxAge() != null) {

responseHeaders.setAccessControlMaxAge(config.getMaxAge());

}

 

response.flush();

return true;

}

若有不正之处请指出,谢谢!

Tom猫咪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过滤器或拦截器跨域CORS处理
05-01
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2409765
spring MVC cors跨域实现源码解析
08-31
三、CORS处理流程 1. 当浏览器发起CORS请求时,会先发送一个预检请求(OPTIONS方法),检查服务器是否允许该跨域请求。 2. `CorsFilter`检查请求是否为CORS请求,并从配置源获取相应的`CorsConfiguration`。 3. `...
使用Spring Security中遇到的Preflight请求和跨域的问题
BENULL的博客
11-22 4117
前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性。遇到的跨域问题,携带jwt请求过程中出现了服务端获取不到jwt情况。 对这种可能对服务器数据产生副作用的HTTP请求方法发送Preflight请求 后台用了Spring Security作为安全框架,并且没有对Preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。
Spring (63)CORS,如何在Spring中配置它
最新发布
qq_43012298的博客
06-17 700
CORS(Cross-Origin Resource Sharing,跨源资源共享)是一种机制,它使用额外的HTTP头来告诉浏览器让运行在一个origin(源)上的Web应用被准许访问来自不同源服务器上的指定资源。当一个资源从与该资源本身不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求。CORS机制主要是为了安全考虑,防止恶意网站读取另一个网站上的敏感数据。不过,网站可以声明愿意让其资源通过CORS被其他网站访问。
java接口 防跨域攻击_浅谈spring-boot 允许接口跨域并实现拦截CORS
weixin_30230059的博客
03-02 301
本文介绍了spring-boot 允许接口跨域并实现拦截(CORS),分享给大家,也给自己留个笔记pom.xml(依赖的jar)// 在spring-boot-starter-web的启动器中,已经依赖好了org.springframework.bootspring-boot-starter-webCORS跨域的配置(主要配置允许什么样的方法跨域)import org.springframewor...
【极简 亲测】已拦截跨源请求:同源策略禁止读取位于....的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)
Yonggie的博客
07-19 3302
可以用插件或者配置解决
Spring boot解决CORS(跨域)请求(基于spring MVC 4.0以上版本)。
初学程序员
05-09 1万+
一、前言   昨天晚上临近下班之前,公司前端同事突然跟我说,他从前端发送的请求,方法变成了OPTIONS,我看到他的代码里明明也写着的是POST请求,可是为什么会变成了OPTIONS请求,而且返回的http状态码也是200,但是没有任何数据的返回,这就表明请求根本没有进入到方法中就被拦截返回了。这究竟是哪里出现了错误呢?二、原因探究    经过早上不懈的查找资料,在以下这篇博文中找到了原因:htt...
前后端分离下spring security 跨域问题等
qq_35494808的博客
10-10 2万+
最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfigurat...
Spring MVC 与 CORS跨域的详细介绍
08-30
Spring MVC 与 CORS 跨域的详细介绍 本文对 Spring MVC 与 CORS 跨域的详细介绍,包括 CORS 的知识点和如何在 Spring MVC 中配置 CORSCORS 简介 同源策略(same origin policy)是浏览器安全的基石。在同源...
spring boot 登陆拦截
01-06
Spring Boot应用中,实现登录拦截是常见的需求,主要用于保护应用程序的特定资源,确保只有经过身份验证的用户才能访问。本教程将详细讲解如何在Spring Boot项目中设置一个简单的登录拦截器。 首先,我们需要理解...
浅谈spring-boot 允许接口跨域并实现拦截CORS
08-29
浅谈spring-boot允许接口跨域并实现拦截CORSSpring Boot中实现CORS(Cross-Origin Resource Sharing,跨域资源共享)机制是为了解决不同域名、协议或端口下的资源请求问题。在Spring Boot项目中,我们可以使用...
基于Springmvc的web应用的跨域实现
qq_35334476的博客
08-23 415
目前很多网站应用到HTML5,使用前后端分离的开发方案。前后端分离就会有跨域的问题。本文即对跨域问题的一点探究。 Spring 4.X提供了 @CrossOrigin 跨域注解 具体设置可以参考http://spring.io/guides/gs/rest-service-cors/ 注意:映射处理器配对: DefaultAnnotationHandlerMapping - Annotati
Spring 注解面面通 之 @CrossOrigin 处理请求源码解析
键盘上流淌的日子
01-27 5540
  @CrossOrigin源码解析主要分为两个阶段:   ① @CrossOrigin注释的方法扫描注册。   ② 请求匹配@CrossOrigin注释的方法。   本文针对第②阶段从源码角度进行解析,关于第①阶段请参照《Spring 注解面面通 之 @CrossOrigin 注册处理方法源码解析》。   请求匹配@CrossOrigin注释的方法   请求匹配@CrossOrigin注释的方法流程:   1) DispatcherServlet.doDispatch(...)、DispatcherS
SpringCloudApiGateway之支持Cors跨域请求
梦想起飞的地方.........
04-24 770
SpringCloudApiGateway之支持Cors跨域请求 问题背景 公司的项目需要前后端分离,vue+java,这时候就需要支持Cors跨域请求了。最近对zuul进行升级,假如说zuul是1.0的话,api gateway就是2.0的网关,支持ws等,基于NIO,各方面还是强大的。 解决方案 新建一个Configuration类即可。 import org.springframew...
spring配置CORS后未返回Access-Control-Allow-Origin的踩坑解决
07-09 5809
  在 Spring 框架下解决 CORS 问题,前面试了两种方法,发现在一种场景下,HTTP Response header 始终未应答 Access-Control-Allow-Origin:*   (1)第一种方式,通过在 Controller 层增加 @CrossOrigin 注解。 @CrossOrigin @RestController @RequestMapping("/file") public class FileController { ... }   (2)第二种方式,利用 Sp
CORS跨域带来的preflight request
咕咕鸡的博客
01-12 8192
cors跨域
跨域问题Response to preflight request doesn‘t pass access control check: No ‘Access-Control-Allow-Origin
热门推荐
winnieFighting
02-28 15万+
我遇到了很多次这个问题,不过都是属于跨域没有跨过去。可能是来自于前端 ,也可能是来自于后端,详情请看下文。
跨域访问的预飞请求(Preflight Request):验证某个域(判断当前域是否能够访问某个域)
tuhuolong的专栏
06-06 2963
5. handle方法详解-handler获取
dydyswr的博客
08-22 1959
主要分享handle方法内部逻辑中的mapping.getHandler(exchange)方法的实现原理,得出gateway使用的是RoutePredicateHandlerMapping的实现的结论。
如何使用Spring Security解决CORS跨域问题?
05-19
CorsFilter是一个Servlet过滤器,可以在处理请求之前拦截请求并添加CORS头信息。 要使用CorsFilter,需要在Spring Security配置中添加以下代码: ```java @Configuration @EnableWebSecurity public class ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值