解决spring boot + security 的cors跨域问题

最新推荐文章于 2025-03-03 09:12:50 发布
最新推荐文章于 2025-03-03 09:12:50 发布
阅读量1.1k 收藏
点赞数 1
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46533227/article/details/132083690
版权

1、支持跨域,在需要跨域的控制器类上添加注解

//表示此类中所有接口可以是实现跨域
@CrossOrigin(origins = "*")

2、 添加security的配置类 

2.1重要的是:

/    跨域的配置类
    @Autowired
    private CustomCorsConfigurationSource corsConfigurationSource;

.cors().configurationSource(corsConfigurationSource)
.and()

2.2添加配置类 

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //不重写方法,调用父类方法
//        super.configure(http);

        //将登录验证token过滤器放在过滤器链最前面
        http.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        // 给一个异常处理器,走我们自定义的拒绝访问处理器,无权限走这个处理器
        http.exceptionHandling().
                accessDeniedHandler(accessDeniedHandler)
//        给一个异常处理器,走我们自定义的认证失败处理器,认证失败走这个处理器
                .authenticationEntryPoint(restAuthenticationEntryPoint);


        //http请求配置信息   ----!!!!!!! todo   需要鉴权的接口,不能被允许匿名访问!!!!!否则会报无权限
        http
                //预检请求是浏览器发现不是简单请求后,封装一个OPTIONS请求到服务器,根据服务器的返回值来判断是否可以进行跨域,
                // 可以的话,后面还有一次真正带数据的请求。上面的response部分:就是预检请求后服务器端的响应
                //预检请求通过
                .cors().configurationSource(corsConfigurationSource)
                .and()
                //关闭csrf
                .csrf().disable()
                //不通过session获取securityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(
                        "/user/notLogIn/**"
                ).anonymous()
                //除了上面的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

    }

2.3、添加cors配置类

//配置预检请求通过
@Configuration
public class CustomCorsConfigurationSource implements CorsConfigurationSource {

    @Override
    public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOriginPattern("*");
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        config.setAllowCredentials(true);
        config.setMaxAge(3600L);
        return config;
    }
}
Fangzhiy
关注
springSpringboot设置访问 & Spring Security设置访问
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 665
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security
SpringBoot设置(CORS
m0_67391121的博客
08-02 646
请求url的协议、名、端口三者有任意一个不同即为问题是因为浏览器的同源策略的限制而产生的。同源请求url的协议、名、端口三者都相同即为同源(同一个)。同源策略同源策略(Sameoriginpolicy)是一种约定,他是浏览器最核心也最基本的安全功能。同源策略会阻止非同源(同一个)的内容进行交互。无法读取非同源网页的Cookie、LocalStorage和IndexedDB无法接触非同源网页的DOM无法向非同源地址发送AJAX请求浏览器限制发起请求;预检请求。...
Spring Boot 处理CORS以及CSRF
最新发布
qq_33807380的博客
03-03 1065
CORS 是一种机制,允许浏览器向不同(协议、名或端口)的服务器发起请求。在 Spring Boot 中,处理请求(CORS,Cross-Origin Resource Sharing)可以通过以下几种方式实现。CSRF 是一种攻击方式,攻击者诱导用户在已认证的 Web 应用中执行非预期的操作。Spring Security 提供了内置的 CSRF 防护机制。使用 Spring Security 配置 CORS。使用 @CrossOrigin 注解。
后端分离项目SpringSecurity整合token遇到的问题
m0_71751187的博客
09-25 406
问题
Spring security 解决
爱媳妇儿爱编程
08-10 4071
Spring security 问题解决办法
SpringSecurity学习笔记(十一)CSRF攻击以及CORS
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-09 1450
什么是CSRFCSRF:站请求伪造。也可称为一站式攻击。也可写作XSRF。按照字面意思来理解,站请求伪造,意思就是说用户登录了A网站之后,会话没有过期,然后登录了B网站,这个时候B网站中的请求访问了A网站,这个时候A网站就会认为是合法的用户的请求,这个时候用户是无感知的,从而导致用户在A网站的账户出现安全问题。特别是在一些银行之类的网站上如果受到这种攻击,造成的损失是致命的。CSRF防御。
SpringSecurity学习(六)CORS、异常处理
Huathy的博客
03-12 3887
CORS是W3C的一种资源共享技术标准,目的是为了解决前端请求(浏览器同源策略会对请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2614
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
Spring-Boot + Spring-Security + Vue 问题
Ravenq的专栏
05-19 5372
原文: http://www.aqcoder.com/post/content?id=40 最近的一个小项目使用了 Spring-Boot + Vue 的前后端分离小项目,项目虽小,也五脏俱全,有自己的用户系统,因此就有了权鉴问题Java里有两个权鉴框架比较出名 Shiro 和 Spring Security。这里我们使用了 Spring Security。 必须要了解的概念 CSR...
Spring boot+Spring security返回302
weixin_37290284的博客
07-31 4509
问题: 前后端分离,后端使用的spring boot+spring security,调试过程中前端需要访问后端接口获取数据,尝试了网上提供的N种方案都是返回302,其中一种方案如下: 调试发现,登录拦截器这边获取不到用户的登录信息,所以一直重定向到登录页面。 解决办法: 暂时还未解决,先取消登录拦截器进行调试工作,待续… ...
Springboot +spring security解决问题
weixin_40991408的博客
05-26 2512
Springboot +spring security解决问题
Spring Boot 进阶-Spring Boot中如何解决问题
初学者
10-10 1349
浏览器出于安全考虑,会限制访问,就是不允许请求资源,要求协议,IP和端口必须都相同,其中有一个不同就会产生问题,这就是同源策略。简单的说A应用只能访问A应用对应的后台返回的数据,B应用只能访问B应用后台的数据,如果A应用通过Ajax请求了B应用对应的后台数据的时候就会出现问题。但是在实际开发中,这种调用方式又是被大家广泛使用的。在CORS技术出现之前,在HTTP请求头中不能包含任何的自定义字段,而且HTTP请求信息也不能操作如下的一些Accept。
Spring Security配置类导致问题:doesn‘t pass access control check: It does not have HTTP ok status.
ELSA001的博客
03-04 1325
Spring Security配置类导致Access to XMLHttpRequest at 'http://localhost:8081/restaurant/list' from origin 'http://localhost:8080' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: It does not have HTTP ok status.
解决SpringSecurity问题
an715396887的博客
08-07 564
[在这里插入图片描述](问题指的是当一个网页的脚本向不同的名(或者端口、协议)的服务器请求资源时,会被浏览器拦截。这是因为浏览器出于安全考虑,禁止请求,以防止恶意网站窃取用户信息或者进行其他攻击行为。但是这次不知道咋的,就是不行了,还说提示说问题。报错结果图下:在网上查了一下资料。
SpringBoot项目中解决CORS资源共享问题
cuishujian_2003的博客
01-15 608
Spring Boot项目中解决CORS问题有多种方法,你可以根据项目的具体需求和安全考虑来选择合适的方法。通常,使用注解或全局配置是最常见和推荐的做法。如果你使用了Spring Security,还需要确保在Spring Security的配置中正确启用了CORS支持。
SpringSecurity 问题 Cors
Claroja
03-25 1790
SpringBoot中只需要在Controller上添加@CrossOrigin,而在导入SpringSecurity后将会失效,所以需要我们在SpringSecurity中再进行配置 public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.c
后端分离SpringSecurity问题解决方案(亲测可用)
Code_Guan的博客
12-06 1846
SpringBoot使用SpringSecurity问题解决方案,亲测可用
springsecurity登录接口问题解决
temperlili的博客
02-23 1825
最近在做一个前后端分离的项目,前端用的axios后端呢,用的是springsecurity做验证。 在所有接口(包括springsecurity提供的登录接口!!!)使用postman测试没问题的时候,于是就开始把接口搬到前端,使用axios请求,这时候问题就来了…所有接口都正常,就是登录接口一直!!! 于是就开始百度,结果花了一个多小时,网上内容基本都一样,都是配置类似下面这个: @Override public void addCorsMappings(CorsRegistry regist
Spring BootSpring Security解决方案
2301_77899321的博客
09-25 1400
Spring BootSpring Security解决方案。
spring boot + security + restful安全实践教程
Spring Boot中,开发者通常会使用@CrossOrigin注解来处理资源共享(CORS问题,以支持前后端分离的架构。 **@CrossOrigin注解** 在Spring框架中,@CrossOrigin注解通常用于控制器类或方法上,用于允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值