Java服务端Cors跨域资源共享配置,解决与Spring Security冲突引起的问题

最新推荐文章于 2023-05-16 14:36:09 发布
最新推荐文章于 2023-05-16 14:36:09 发布
阅读量392 收藏
点赞数
文章标签: java 测试
原文链接:https://my.oschina.net/hhjian/blog/1559140
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

(一) CORS介绍

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

response响应头:

响应头字段名称作用
Access-Control-Allow-Origin允许访问的客户端的域名
Access-Control-Allow-Credentials是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。
Access-Control-Allow-Headers允许服务端访问的客户端请求头
Access-Control-Allow-Methods允许访问的HTTP请求方法
Access-Control-Max-Age用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

  1. 简单粗暴,直接写个filter拦截所有请求在response头里加上面的字段.

  2. 继承WebMvcConfigurerAdapter重写addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter {
     @Override
     public void addCorsMappings(CorsRegistry registry) {
         registry.addMapping("/**")
                 .allowedHeaders("*")
                 .allowedMethods("*")
                 .allowedOrigins("*");
     }
}
  1. 自定义Filter,注册
@Bean
 public FilterRegistrationBean corsFilter() {
     UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
     CorsConfiguration config = new CorsConfiguration();
     config.addAllowedOrigin("*");
     config.setAllowCredentials(true);
     config.addAllowedHeader("*");
     config.addAllowedMethod("*");
     source.registerCorsConfiguration("/**", config);

     FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
     bean.setOrder(0);
     return bean;
 }
  1. @CrossOrigin注解
@CrossOrigin(
        origins = "*",
        allowCredentials = "true",
        allowedHeaders = "*",
        methods = RequestMethod.GET,
        maxAge = 3600
)

(三) 出现的问题:

由于我使用了Spring Security,即使配置了响应头字段,还是不能访问,经过反复测试,最后想到可能因为我用了Spring Security,而Spring Security拦截了我的请求,导致配置不成功.

解决方法:

  1. 配置Spring Security,设置不拦截OPTIONS请求
HttpSecurity#authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll()
  1. 配置CorsFilter优先级,优于Spring Security配置即可

转载于:https://my.oschina.net/hhjian/blog/1559140

weixin_34072458
关注
SpringSecurity+Oauth2获取AccessToken跨域CORS问题解决
Eiverl的博客
09-23 1533
问题: 在springboot+SpringSecurity+oauth2项目中,No ‘Access-Control-Allow-Origin’ 终极解决办法,在使用了corsFilter进行跨域处理,相关代码配置如下: @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException,
Spring Security跨域CORS
xkshihaoren的博客
12-05 521
1.跨域 跨域,实质上是浏览器的一种保护处理。如果产生了跨域,服务器在返回结果时就会被浏览器拦截(注意:此时请求是可以正常发起的,只是浏览器对其进行了拦截),导致响应的内容不可用 1.1 产生跨域的几种情况 也就是请求的URL和页面所在的URL的首部不同时就会产生跨域 1.2 解决跨域之JSONP 实现原理: 浏览器允许一些带src属性的标签跨域,也就是在某些标签的src属性上写url地址是不会...
SpringBoot配置Cors解决跨域请求问题
weixin_34290352的博客
05-23 472
一、同源策略简介 同源策略[same origin policy]是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 什么是源 源[origin]就是协议、域名和端口号。例如:http://www.baidu.com:80这个URL。 什么是同源 若地址里面的协议、域名和端口号均相同则属于同源。 是否是同源的判断 例如判断下面的URL...
CORS跨域资源共享
最新发布
路虽远,行将至。事虽难,做必达。
05-16 782
跨域资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向跨源服务器,发出请求XMLHttpRequest(XHR),从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以跨域获取数据。则是在使用设定的请求方式请求数据前,先发送一个OPTIONS预检请求,验证请求源是否为服务端允许源,只有验证为允许后才会再次发送一次请求用于数据传输。:在浏览器进行请求时,自动在请求头中添加Origin字段信息,服务端通过验证Origin字段来判断请求是否被允许,从而实现浏览器跨域资源访问。
Spring Boot中对CORS(Cross-Origin Resource Sharing 跨域资源共享)的支持
Champion-Dai
07-31 716
1、概念 Cors(Cross-Origin Resourece Sharing)是由W3C制定的一种跨域资源共享技术标准,目的是为了解决前端的跨域请求。 2、实验步骤 SpringBoot中配置Cors的步骤如下: 2.1 创建第一个Spring Boot工程(切记:本实验中,第一个工程的tomcat的接口为8086)。本实验中添加Web依赖。 <dependency> ...
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 6369
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
Springboot后端CORS跨域资源共享
comecny的博客
08-16 649
跨域
Spring Security中的跨域资源共享(CORS)处理
跨域资源共享(Cross-Origin Resource Sharing,简称CORS)是一种用于解决浏览器的同源策略限制的机制。同源策略是浏览器的基本安全策略,限制了一个页面的文档或脚本如何与不同源的资源进行交互。同源策略要求页面的...
spring boot配合前端实现跨域请求访问
08-30
Spring Boot作为一款轻量级的Java框架,提供了方便的方式来解决跨域问题。 1. **服务端设置Respone Header头中Access-Control-Allow-Origin** 这是最基本的解决跨域的方法。在Spring Boot应用中,我们可以在过滤...
关于Spring security的一些小知识
m0_58203725的博客
11-10 599
Spring Security中一些知识的解析,为了使我们更好的理解Spring Security安全框架,该内容仅是一些自我理解,如有不足,请多担待并指正,达到互相学习目的哈
Java利用cors实现跨域请求
ShiYadong的专栏
08-10 1169
 当一个资源从与该资源本身所在的服务器不同的域或端口不同的域或不同的端口请求一个资源时,资源会发起一个跨域 HTTP 请求。   出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求。跨域资源共享机制允许 Web 应用服务器进行跨域访问控制,从而使跨域数据传输得以安全进行。浏览器支持在 API 容器中使用 CORS,以降低跨域 HTTP 请求所带来的风险。   针对于JAVA开发而言,为了...
springBoot学习笔记九:CORS实现跨域资源共享
chunlulin2540的博客
06-01 373
一、项目说明 项目环境:jdk1.8+tomcat8+idea2018 源代码github地址: 实现目标:如果做过前后端分离项目的人或多或少的都会遇到过请求跨域问题,这都是因为浏览器同源策略引起的,什么是跨域?。解决跨域的方式有很多,比如jsonp、cors、if...
springboot通过CORS(cross-origin resourse sharing 跨域资源共享解决跨域问题
qq_40820916的博客
07-07 738
源 简单来说,源就是指协议,域名和端口号,所谓同源就是协议相同,域名相同,端口号相同,以下举个例子: 对于 http://www.aa.com/test/index.html 判断是否同源(协议为http协议,域名为www.aa.com,端口号为80(默认,可以省略)) 1、http://www.aa.com/bb/index.html ——同源; 2、http://www.baidu.aa.com/bb/index.html ——非同源,域名不一致; 3、https://www.aa.com/bb/ind
SpringBoot系列——CORS(跨源资源共享)
weixin_30692143的博客
07-11 534
  前言   出于安全原因,浏览器禁止ajax调用当前源之外的资源(同源策略),我们之前也有写个几种跨域的简单实现(还在问跨域?本文记录js跨域的多种实现实例),本文主要详细介绍CORS,跨源资源共享,以及如何在SpringBoot的几种实现方式   这里主要参考spring的这篇:https://docs.spring.io/spring/docs/5.1.8.RELEASE/spring-...
SpringBoot解决跨域问题
打工人打工魂
09-19 278
Spring Boot解决跨域问题
CORS跨域,使用spring security跨域配置失效
江湖行骗老中医
05-22 1798
之前项目使用的都是shiro,解决跨域问题都是实现WebMvcConfigurer接口,重写以下方法 /** * 添加cors跨域配置 * @param registry */ @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowCredentials(true) ...
SpringSpring-Boot、Spring-Security中对CORS跨域资源共享)的支持
盲目的拾荒者的博客
04-04 1万+
出于安全原因,浏览器禁止AJAX调用当前域之外的域的资源。跨源资源共享(CORS)是由大多数浏览器实现的W3C规范,允许您指定哪些类型的跨域请求是被授权的,而不是基于IFRAME或JSONP的不安全且功能较差的工作区。 Spring MVC HandlerMapping提供了对CORS的内置支持。在成功地将请求映射到处理程序之后,HandlerMapping将检查给定请求...
Spring Security拦截器引起Java CORS跨域失败的问题
热门推荐
HoJian的博客
12-29 1万+
在已设置CORS的项目中加入Spring Security,导致跨域访问失败,一开始以为是设置错CORS问题,后来才发现是因为Spring Security的拦截冲突引起的。 (一) CORS介绍 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求...
关于java.security包下面的坑
mrsbai的博客
06-27 828
最近写一个AES加密的算法,本地测试没有问题后,就提交测试了。但是在测试那里一直就有问题。对相同的字符串加密后的结果,每次居然不同!!excuese me?? 后来查询资料才找到,问题居然出现在SecureRandom这个类上,如果只是new一个对象使用的话,在linux环境下每次加密的结果不一致,但是在windows下一致!!所以需要每次setseeds解决
SpringSecurity6实现自定义认证流程详解
标签“SpringSecurity6 java”指的是Spring Security 6框架在Java编程语言中的应用。Spring Security 6与Java生态紧密集成,为Java开发者提供了丰富的安全特性,使得他们能够为基于Java的企业级应用构建出健壮的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值