关于前后端分离中CORS跨域问题

最新推荐文章于 2023-06-02 18:33:15 发布
最新推荐文章于 2023-06-02 18:33:15 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 前端 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011573295/article/details/108513760
版权

在前后端分离中,前端的域或端口与后端的域或端口不一致的情况下,浏览器默认会阻止前端请求后端,因此我们为了使前端请求能够得到服务器响应并返回数据,需要做一些设置。

基于springboot+vue

一.CORS服务器端设置

@Configuration
public class MyConfig implements WebMvcConfigurer {
    //静态资源URI和位置映射
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**")
                .addResourceLocations("classpath:/static/")
                //设置静态资源缓存1年
                .setCachePeriod(3153600);
    }
    // CORS设置,任何请求,任何来源,任何方法,任何头,允许凭证
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("*")
                .allowedHeaders("*")
                .allowCredentials(true).maxAge(3600);
    }
}

另外,如果采用了springSecurity,则需要进一步进行安全设置,重点内容如下,需要安全级别中启用CORS

//使用Spring Security,请确保在Spring安全级别启用CORS
      .cors()

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    private MyUserDetalisService myUserDetalisService;

    public MySecurityConfig(MyUserDetalisService myUserDetalisService) {
        this.myUserDetalisService = myUserDetalisService;
    }

    //http安全配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()  //所有请求拦截
                .antMatchers("/static/**").permitAll() //放在所有拦截的前面放行不需要拦截的资源
                .antMatchers("/login").permitAll()  //放行登录
                .antMatchers("/logout").permitAll() //放行注销
                .antMatchers("/reg").hasAnyAuthority("REGUSER")//此页需要权限
                .anyRequest().authenticated() //除上所有拦截需要用户认证
                .and()
                .formLogin().loginProcessingUrl("/login")
                //登录成功后的返回结果
                .successHandler(new AuthenticationSuccessHandlerImpl())
                //登录失败后的返回结果
                .failureHandler(new AuthenticationFailureHandlerImpl())
                .and()
                .logout().logoutUrl("/logout")
                //登出后的返回结果
                .logoutSuccessHandler(new LogoutSuccessHandlerImpl())
                .and()
                //使用Spring Security,请确保在Spring安全级别启用CORS
                .cors().and()
                .csrf().disable(); //关闭csrf校验

    }
    //认证管理器配置
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetalisService)
                //查询时需要密码加密后和数据库做比较
                .passwordEncoder(new BCryptPasswordEncoder());
    }
}

二、前端中

在axios配置中也需要启用凭证,否则axios请求会被后端安全拦截,转向/login请求

axios.defaults.withCredentials = true

 

35哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2459
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
跨域问题 配置后台无法生效
qq_43476000的博客
10-14 167
在springsecurity 的配置项加上.and().cors() 即可 问题解决了记得回来点赞哦
跨域介绍及Java常见的跨域解决方案
最新发布
akaiyijian001的博客
06-02 4535
跨域(Cross-Origin)指的是在浏览器,由于安全策略的限制,当前网页的 JavaScript 代码无法直接访问不同源(协议、域名、端口)的资源。这意味着如果网页尝试通过 AJAX、Fetch 或 WebSocket 等方式向不同源的服务器发送请求,浏览器会阻止这些请求,从而避免潜在的安全风险。
2.自定义配置类——SpringSecurity
Lee_92的博客
08-12 1506
当前Java Web项目主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发将此验证关闭。的认证方式相比传统的。...
新版 springboot-前后端分离-跨域设置的五种方法以及遇到的坑
醉瑾_的博客
03-31 1801
用到的版本: springboot 2.6.5 security 5.6.2 spring framework 5.3.17 1 注解 @CrossOrigin (局部) 用在需要跨域的controller接口上或用在某个方法之上 eg: @CrossOrigin(origins = "http://xxx.com", maxAge = 3600) @RestController @RequestMapping("/account") public class AccountController {
Springboot前后端分离项目配置跨域实现过程解析
08-18
前后端分离的项目,前端和后端分别部署在不同的域名或端口上,这就存在跨域问题。为了解决这个问题,我们需要在后端配置跨域。 首先,我们需要了解什么是跨域。跨域是指在不同的域名、协议或端口之间的资源共享...
SpringBoot实现前后端分离的跨域访问(CORS
01-27
前后端分离的架构,由于前端和后端可能部署在不同的域名下,跨域问题就显得尤为重要。SpringBoot提供了多种方式来处理CORS,确保前后端可以正常通信。 **CORS工作原理** CORS的工作涉及到浏览器和服务器之间的...
vue+springboot前后端分离实现单点登录跨域问题解决方法
08-28
前后端分离的架构,前端(浏览器)和后端(服务器)之间的通信存在跨域问题。浏览器的同源策略会阻止来自不同源的请求,从而导致跨域问题。为了解决跨域问题,我们可以使用CORS(Cross-Origin Resource Sharing...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
01-19
环境: 前端 vue ip地址:192.168.1.205 后端 springboot2.0 ip地址:192.168.1.217 主要开发后端。 问题: 首先登陆成功时将用户存在session,后续请求在将用户从...后台添加过滤器,因为前后端分离,不可能每个方
解决:Spring Security跨域问题
学习使我快乐_玉祥
12-27 2565
在你的如下类 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法级别的权限认证 public class SecurityConfig extends WebSecurityConfigurerAdapter { } 加入如下方法: @Bean CorsConfigurationSource corsConfigurationSource()
Spring Boot 使用 Spring Security, OAuth2 跨域问题 (自己挖的坑)
weixin_38171030的博客
07-12 819
使用 Spring Boot 开发 API 使用 Spring Security + OAuth2 + JWT 鉴权,已经在 Controller 配置允许跨域: @RestController @CrossOrigin(allowCredentials = "true", allowedHeaders = "*") public class XXController { ...
SpringBoot OAuth2支持跨域访问
无望丶
03-21 3476
什么是跨域访问 在 HTML ,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么...
关于SpringBoot Security oauth2使用Cors问题(登出无效)
香酥蟹的博客
12-09 1846
前言 : /logout at position 1 of 10 in additional filter chain; firing Filter: 'WebAsyncManagerIntegrationFilter' : /logout at position 2 of 10 in additional filter chain; firing Filter: 'SecurityConte...
SpringBoot-SpringSecurity跨域,java设置跨域失败
SBS技术栈-晓白
01-06 1755
本文先上遇到的坑。后续会添加搭建!搭建很简单,去网上复制就行。 首先为什么要集成SpringSecurity?我的项目是Http会话即单次握手。每次访问接口需要验证用户令牌(token,请求头获取) 首先博主集成SpringSecurity之后跨域失败!(这里指的是没有配置nginx情况下) 因为CORS请求是两次,一次是确定信息,一次是传递。那么第一次一定是没有token的!那么就要放行,...
浅谈CORS(跨域资源分享),并给出Spring Security处理Preflight的方法
热门推荐
dalangzhonghangxing的专栏
10-24 2万+
我之前就写过有关AngularJS+Spring Boot在有关跨域方面的博客,但那主要是针对解决问题,而没有去分析跨域。后来我在看了多篇博客之后,在这里整理总结下我对CORS的认识。 造成跨域的主要原因是由于请求方的1、域名 2、端口与被请求方不一致。而CORS可以提供跨域的资源分享(比如一个网站需要访问另一个网站的资源,这个资源可以是一张图片,或者是一个API接口),它需要前后端共同去实现。
JavaScriptCORS问题
LuckXinXin的博客
11-12 1284
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
Spring Security(十一) Spring Security CSRF
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口任何一个不相同就是跨域请求。 客户
SpringBoot2.0+SpringSecurity+Oauth2获取AccessToken跨域CORS访问终极解决方案
坐看云起时_雨宣
06-15 6687
今天在搭建项目的时候遇到了Oauth2获取AccessToken跨域访问的问题,之前关于这块都是自己去实现,这次打算用Oauth2来集成SpringBoot。项目依赖如下: <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId&g...
Spring、Spring-Boot、Spring-SecurityCORS(跨域资源共享)的支持
盲目的拾荒者的博客
04-04 1万+
出于安全原因,浏览器禁止AJAX调用当前域之外的域的资源。跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您指定哪些类型的跨域请求是被授权的,而不是基于IFRAME或JSONP的不安全且功能较差的工作区。 Spring MVC HandlerMapping提供了对CORS的内置支持。在成功地将请求映射到处理程序之后,HandlerMapping将检查给定请求...
cors 前后端分离跨域问题_解决前后端分离CORS 跨域资源共享问题
06-02
好的,针对你的问题,我可以为你提供以下解决前后端分离CORS 跨域资源共享问题的方法: 1. 通过设置后端 API 的响应头来解决跨域问题,可以在后端代码设置 Access-Control-Allow-Origin 头部,指定允许跨域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值