cors java 安全问题_Java服务端Cors跨域资源共享配置,解决与Spring Security冲突引起的问题...

最新推荐文章于 2023-03-24 13:43:36 发布
最新推荐文章于 2023-03-24 13:43:36 发布
阅读量312 收藏
点赞数
文章标签: cors java 安全问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39883260/article/details/111943329
版权

(一) CORS介绍

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。

它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。

response响应头:

响应头字段名称

作用

Access-Control-Allow-Origin

允许访问的客户端的域名

Access-Control-Allow-Credentials

是否允许请求带有验证信息,若要获取客户端域下的cookie时,需要将其设置为true。

Access-Control-Allow-Headers

允许服务端访问的客户端请求头

Access-Control-Allow-Methods

允许访问的HTTP请求方法

Access-Control-Max-Age

用来指定预检请求的有效期(秒),在有效期内不在发送预检请求直接请求。

Cors详细介绍请看阮一峰的跨域资源共享 CORS 详解

(二) 服务端配置CORS(Spring boot)

简单粗暴,直接写个filter拦截所有请求在response头里加上面的字段.

继承WebMvcConfigurerAdapter重写addCorsMappings

public class CorsConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/**")

.allowedHeaders("*")

.allowedMethods("*")

.allowedOrigins("*");

}

}

自定义Filter,注册

@Bean

public FilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("*");

config.setAllowCredentials(true);

config.addAllowedHeader("*");

config.addAllowedMethod("*");

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));

bean.setOrder(0);

return bean;

}

@CrossOrigin注解

@CrossOrigin(

origins = "*",

allowCredentials = "true",

allowedHeaders = "*",

methods = RequestMethod.GET,

maxAge = 3600

)

(三) 出现的问题:

由于我使用了Spring Security,即使配置了响应头字段,还是不能访问,经过反复测试,最后想到可能因为我用了Spring Security,而Spring Security拦截了我的请求,导致配置不成功.

解决方法:

配置Spring Security,设置不拦截OPTIONS请求

HttpSecurity#authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll()

配置CorsFilter优先级,优于Spring Security配置即可

weixin_39883260
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原因:cors 请求未能成功_三种对CORS错误配置的利用方法(转)
weixin_39752087的博客
11-29 6万+
同源策略(SOP)限制了应用程序之间的信息共享,并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时,也带来了另外的问题。随着Web应用程序和微服务使用的日益增长,出于实用目的往往需要将信息从一个子域传递到另一个子域,或者在不同域之间进行传递(例如将访问令牌和会话标识符,传递给另一个应用程序)。为了允许跨域通信,开发人员必须使用不同的技术来绕过SOP并传递敏感信息,以至于...
java 跨域配置
qiaobing1226的博客
04-18 227
CROS错误,跨域配置
JAVA 服务器端配置跨域请求配置
m0_59757074的博客
03-24 675
【代码】JAVA 服务器端配置跨域请求配置类。
java 跨域 配置CorsFilter不生效原因
七濑武的博客
04-15 5147
java 跨域 配置CorsFilter不生效原因 项目中有多个Filter时,需要通过 @Order(Ordered.HIGHEST_PRECEDENCE) 注解设置过滤器的执行顺序 order的规则 1. order的值越小,优先级越高 2. order如果不标注数字,默认最低优先级,因为其默认值是int最大值 3. 该注解等同于实现Ordered接口getOrder方法,并返回数字。 如果使用如下注释掉的方法进行设置跨域Filter的doFilter()方法中直接return出去时,前端会提示跨域
cors java 安全问题_Java服务端CORS方法解决浏览器跨域问题(示例代码)
weixin_42317885的博客
12-24 225
跨域问题简单来说,就是浏览器访问a.com时,a.com中的javascript,想要访问b.com的资源。浏览器从安全角度考虑限制了这种行为。所以访问失败了。解决方案主要有两种:1.JSONP2.CORSJSONPJSONP方案是将数据放在服务端javascript脚本中,请求这个javascript。由于浏览器不限制javascript的跨域访问,因此服务端只要把数据放在这个伪javascr...
spring boot配合前端实现跨域请求访问
08-30
Spring Boot作为一款轻量级的Java框架,提供了方便的方式来解决跨域问题。 1. **服务端设置Respone Header头中Access-Control-Allow-Origin** 这是最基本的解决跨域的方法。在Spring Boot应用中,我们可以在过滤...
基于Spring Boot和Vue2开发的前后端分离的后台管理系统.zip
最新发布
04-03
2. **跨域资源共享(CORS)**: 解决前后端部署在不同域下时可能出现的跨域问题。 3. **API版本控制**: 随着系统的迭代,需要对API进行版本管理,确保向后兼容。 4. **WebSocket**: 实时通信协议,可用于实现双向通信,...
vue-cross-domain.zip
09-14
- `springsecurity`:这可能是一个Spring Security配置Spring SecurityJava领域常用的权限控制框架,有时也会处理CORS设置,允许特定的前端应用进行跨域访问。 - `.git`:这是Git版本控制的隐藏目录,包含项目...
完全跨域的单点登录 完全跨域的单点登录
09-13
为实现跨域SSO,通常采用的方式是在认证服务器设置一个共享的Cookie,或者使用JSONP、CORS等技术来绕过同源策略。 4. 示例项目WebSSOAuth与WebSSODemo: "WebSSOAuth"可能是一个包含认证逻辑的服务端项目,它负责...
Authentication:接收任何输入时生成新令牌的简单身份验证服务器
06-11
设置适当的CORS策略,防止跨域攻击。同时,启用HTTPS以保护传输过程中的敏感数据。 10. **错误处理与状态码**: 设计清晰的错误处理机制,返回合适的HTTP状态码,告知客户端认证失败的原因,如无效的凭据或过期的...
CORS跨域资源共享安全配置
liu_xue_xue的专栏
08-07 1067
描述:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS跨域资源共享存在风险:任何网站都可以使用用户凭据发出请求并读取对这些请求的响应。相信任意来源有效地禁止了同源策略,允许第三方网站的双向交互。因此要做跨域资源共享安全处理。 具体实现: 在application.yml中新增如下配置security: #跨域相关配..
cors java 安全问题_Java利用cors实现跨域请求实例
weixin_36420089的博客
12-24 133
由于ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,不允许js代码进行跨域操作,所以会警告网站开发,在某些情况下需要用到跨域。什么是跨域跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript施加的安全限制。ajax本身实际上是通过XMLHttpRequest对象来进行数据的交互,而浏览器出于安全考虑,...
SpringBoot项目跨域请求放行配置工具类
zhengTornado的博客
12-06 593
package com.ruoyi.framework.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfigurat...
解决跨域请求和接口安全问题
wuyang19920226的博客
06-16 5352
写在前面:最近一个月因为事杂且多,没有抽出时间来整理技术点。早就想好写这方面的内容了,这周末才勉强挤出时间整理下。 步入正题,既然是解决跨域请求,那么要知道什么是跨域请求,为什么会有跨域请求。 一、什么是跨域请求: 首先引入一个概念:同源策略。 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能。为了保护本地数据不被JavaScript代码获取回...
CORS跨域问题的理解与解决方案
Garry
08-16 517
一、首先,什么是CORS? 1:CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 2:它允许浏览器向跨源服务器,发出XMLHttpRequest(ajax)请求,从而克服了AJAX只能同源使用的限制。 二、看了什么是CORS,我们还要解释一个名词,什么是”同源策略(same origin policy)“? 答:同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 三、看完以
cors java 安全问题_解决spring securitycorsFilter冲突问题
weixin_32515143的博客
01-14 710
spring mvc项目中,使用了corsFilter进行跨域配置,相关代码如下:@Beanpublic FilterRegistrationBean corsFilter() {FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();filterRegistrationBean.setFilter...
springboot 跨域解决方法
yijiayi810的专栏
01-18 503
@Bean public FilterRegistrationBean corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration...
极简修复CORS跨域问题,亲测有效
一只小鹰
08-15 6952
原文地址:https://www.jeremyjone.com/456/ ,转载请注明。 在前后端分离开发、远程调用等过程中,总能碰到跨域问题,其报错大体长这个鸟样: 对于这个bug,前端同学可以使用简单的方法处理,这里推荐两个方案: 方案一,安装一个名为Allow-Control-Allow-Origin的插件 你没有听错,前端同学最方便的方式其实是安装一个插件,安装后,在浏览器中打开它,使图...
深入Spring Security魔幻山谷-获取认证机制核心原理讲解
朱季谦
02-10 403
文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考《Spring Boot+Spring Cloud+Vue+Element项目实战:手把手教你开发权限管理系统》一书。 这是一个古老的传说。 在神秘的Web系统世界里,有一座名为Spring Security的山谷,它高耸入云,蔓延千里,鸟飞不过,兽攀不了。这座山谷只有一条逼仄的道路可通。然而,若要通过这条道路前往另一头的世界,就必须先拿到一块名为token的令牌,只有这..
cors 前后端分离跨域问题_解决前后端分离的 CORS 跨域资源共享问题
06-02
好的,针对你的问题,我可以为你提供以下解决前后端分离的 CORS 跨域资源共享问题的方法: 1. 通过设置后端 API 的响应头来解决跨域问题,可以在后端代码中设置 Access-Control-Allow-Origin 头部,指定允许跨域请求的源地址。 2. 使用反向代理服务器(如 Nginx)进行跨域请求转发,代理服务器可以在请求头中添加 Access-Control-Allow-Origin 头部,从而允许跨域请求。 3. 在前端代码中使用 JSONP 跨域请求,但这种方式只适用于 GET 请求。 4. 使用 WebSocket 协议进行通信,WebSocket 是基于 HTTP 协议的,但是它可以在客户端和服务端之间建立持久连接,避免跨域问题。 5. 使用 CORS 跨域资源共享机制,CORS 是一种标准化的跨域解决方案,通过在服务端设置一些特定的响应头,允许资源可以被指定的域名访问。 以上是一些解决前后端分离的 CORS 跨域资源共享问题的方法,你可以根据自己的具体情况选择适合自己的方式来解决跨域问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值