CORS 跨域一篇文章就够了!Spring + Spring Security 配置!!

已于 2022-09-06 12:03:52 修改
阅读量2k 收藏 6
点赞数
分类专栏: csrf java 文章标签: spring java mybatis
于 2022-09-06 11:37:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52834606/article/details/126721648
版权
java 同时被 2 个专栏收录
9 篇文章 1 订阅
订阅专栏
csrf
3 篇文章 0 订阅
订阅专栏

目录

一、跨域

二、什么是 CORS

2.1 简单请求

2.2 非简单请求

三、Spring 跨域解决方案

四、Spring Security 跨域解决方案

4.1 原理分析     

4.1 解决方案

4.3 源码分析

一、跨域

        跨域问题是实际应用开发中一个非常常见的需求,在 Spring 框架中对于跨域问题的处理方案有好几种,引入了 Spring Security 之后,跨域问题的处理方案又增加了。

        就不能在基于 传统的解决去解决跨域问题,因为默认的都会 Spring Security 的认证Filter 所拦截从而导致失效,因为 Spring 的三种解决方案两种是通过 Interceptor 拦截器而解决,而Spring Security 的 Filter 是在 Interceptor 拦截器前执行,及时是是通过 Spring 的 CorfFilter ,但是如果是没能在 Spring Security的 Filter 前执行也会导致失效。

二、什么是 CORS

        

        CORS (Cross-Origin Resource Sharing ) 是由 W3C 制定的一种跨域资源共享技术标准,其目的就是为了解决前端的跨域请求。在 JavaEE 开发中,最常见的前端跨域请求解决方案是早期的 JSONP,但是 JSONP 只支持 GET 请求,这是一个很大的缺陷,而 CORS 则支持多种 HTTP 请求方法,也是目前主流的跨域解决方案 。

        CORS 中新增了一组 HTTP 请求头字段,通过这些字段,服务器告诉浏览器,哪些网站通过浏览器有权限访问哪些资源。同时规定,对哪些可能修改服务器数据的 HTTP 请求方法(如 GET 以外的 HTTP 请求等),浏览器必现首先使用 OPTIONS 方法发起一个预检请求 (prenightst),预检请求的目的是查看服务端是否支持即将发起的跨域请求,如果服务端允许,才发送实际的 HTTP 请求 。在预检请求的返回中,服务器端也可通知客户端,是否需要携带身份凭证 (如 Cookie 、HTTP 认证信息等) 。

CORS :同源/同域 = 协议 + 主机 + 端口

2.1 简单请求

  GET 请求为例,如果需要发起一个跨域请求,则请求头如下:        

Host: localhost:8080 
Origin: http://localhost:8081 
Referer: http://localhost:8081/index.html

如果服务端支持该跨域请求,那么返回的响应头中将包含如下字段:

# 告知浏览器对该域的请求是允许跨域的
Access-Control-Allow-Origin:http://localhost: 8081

        Access-Control-Allow-Origin 字段用来告诉浏览器可以访问该资源的域,当浏览器收到这样的响应头信息之后,提取出 Access-Control-Allow-Origin 字段中的值,发现该值包含当前页面所在的域,就知道这个跨域是被允许的,因此就不再对前端的跨域请求进行限制。这属于简单请求,既不需要进行预检请求的跨域。

2.2 非简单请求

         对于一些非简单请求,会首发发送一个预检请求。预检请求类似下面这样:

OPTIONS /put HTTP/1.1   # 请求方式 和类型
Host: localhost:8080 # 请求的地址 
Connection: keep-alive  # 连接状态
Accept: */*   # 允许的响应类型 
Access-Control-Request-Method:PUT  # 当前方法的请求方法
Origin: http://localhost: 8081   # 跨域请求的url 
Referer:http://localhost:8081/index.html  # 跨域的地址       

        请求方法是 OPTIONS ,请求头 Origin 就告诉服务端当前页面所在域,请求头 Access-Control-Request-Methods 告诉服务端即将发起的跨域请求所使用的方法。服务端对此进行判断,如果允许即将发起的跨域请求,则会给出如下响应:

HTTP/1.1 200 # 当前请求装填 
Access-Control-Allow-Origin: htpp://localhost:8081  #浏览器允许跨域地址
Access-Control-Request-Methods:PUT # 请求方式 
Access-Control-Max-Age:3600 # 预检请求的有效期

        Access-Control-Allow-Methods 字段表示允许跨域方法:Access-Control-Max-Age 字段表示预检请求的有效期,单位为秒,在有效期内如果发起该跨域请求,则不用再次发起预检请求。预检请求结束后,接下来就会发起一个真正的跨域请求,跨域请求和前面的简单请求跨域步骤类似。

三、Spring 跨域解决方案

spring 跨域 Cors 解决方案_千城丶Y的博客-CSDN博客

四、Spring Security 跨域解决方案

4.1 原理分析     

        当我们为项目添加了 Spring Security 依赖之后,发现上面三种跨域方式有的失效了,有的则可以继续使用,这是怎么回事?

        通过 @CrossOrigin 注解或者重写 addCorsMappings 方法配置跨域,统统失效了,通过CorsFilter 配置的跨域,有没有失效则要看过滤器的优先级,如果过滤器优先级高于 Spring Security 过滤器,即限于 Spring Security 过滤器执行,则 CorsFilter 所配置的跨域处理依然有效,如果过滤器优先级低于 Spring Security 过滤器,则 CorsFilter 所配置的跨域处理就会失效。

        为了理清楚这个问题,我们先简单了解一下 Filter 、DispatcherServlet 以及 Interceptor 执行顺序。

        理清楚了执行顺序,我们再来看跨域请求过程。由于非简单请求要首先发送一个预检请求 request ,而预检请求并不会携带认证信息,所以预检请求就有被 Spring Security 拦截的可能。因此通过 @CrossOrigin 注解或者重写addCorsMappings 方法配置跨域就会失效。如果使用 CorsFilter 配置的跨域,只要过滤器优先级高于 Spring Security 过滤器就不会有问题,反之同样出现问题。

4.1 解决方案

        Spring Secuirty 中提供了更专业的方式来解决预检请求所面临的问题。

        Spring Security 的解决方案是基于 SpringMvc 的 CorsFilter 实现的,也就是将CorsFilter的配置交给我们,而具体CorsFilter 类的创建交给 Spring Security 进行处理。

如:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * web安全配置
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .cors().configurationSource(corsConfiguration()); // 配置 CorsFilter 配置信息
    }

    /**
     * Cors 的配置信息 配置+路径
     */
    CorsConfigurationSource corsConfiguration (){
        // Cors配置类
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(false); // 是否返回时生成凭证
        corsConfiguration.setAllowedHeaders(Arrays.asList("*")); // 允许请求携带哪些请求头信息
        corsConfiguration.setAllowedMethods(Arrays.asList("*")); // 允许哪些类型的请求方法
        corsConfiguration.setAllowedOrigins(Arrays.asList("*")); // 允许哪些域可以进行方法
        corsConfiguration.setMaxAge(3600L); // 设置预检的最大的时长
        corsConfiguration.setExposedHeaders(Collections.emptyList()); // 设置返回暴露的响应头信息

        // 设置注册URL 配置类
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource() ;
        source.registerCorsConfiguration("/**",corsConfiguration);

        return source;
    }
}

4.3 源码分析

        底层还是通过CorsFilter 处理 ,生成配置 CorsFilter 是交给 CorsConfigurer进行处理的。

结论:

        Spring Security 底层也是使用 CorsFilter ,而这个Filter 执行顺序就至关重要,Spring Security 底层帮我我们进行排序,在其他的Filter 前执行就可以正常执行解决跨域问题了。

1.获取CorsFilter 添加到Spring Security Filter china 中

2.添加方法

477791794ab20e26b9b66feda040c826.png3.添加后的顺序

65c421e8d1d6443047957bd96ff21519.png4.Filter排序

be3256a94a946e92c4a8f8d8b1bc8a99.png

千城丶Y
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security系列】跨域CORS
qq_28248897的博客
07-16 948
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。 1.认识跨域 很多人误认为资源跨域时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF跨站攻击。 此外,我们平常所说的跨域实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的跨域成为
Spring 里多种 CORS 配置方式
许久
02-14 2192
参考:https://cloud.tencent.com/developer/article/1703212 https://cloud.tencent.com/developer/article/1513473 一、CORS 介绍 CORS全称是Cross-Origin Resource Sharing,直译过来就是跨域资源共享。 从站点 A 请求站点 B 的资源的时候,由于浏览器的同源策略的影响,这样的跨域请求将被禁止发送;为了让跨域请求能够正常发送,我们需要一套机制在不破坏同源策略的安全性的情.
Spring security 解决跨域
爱媳妇儿爱编程
08-10 3914
Spring security 跨域问题的解决办法
springmvc注解
梦想是很难很难的,所以先勇敢一点
02-02 644
RequestBody 将请求体的json数据转换为java对象@Reponsebody 将java对象转换为json一般前后端分离的项目采用的交互的格式都是json,所以可以直接在,这就不必在每个方法上都添加了。controller类通常需要添加和两个注解,springmvc将其整合成了一个注解。
配置跨域CorsConfig类
最新发布
qq_53376718的博客
05-10 365
前后端跨域配置
美团春招内幕揭秘:2024最全面Spring CORS面试题解析,跨域问题大师级指南!
Von_016's Blog
03-27 657
随着现代Web应用越来越多地采用前后端分离的架构,跨域资源共享(CORS)成为了Web开发中不可或缺的一部分。对于构建复杂、响应迅速的Web应用,了解并正确实施CORS策略是确保应用安全、高效运行的关键。美团,作为中国领先的生活服务电子商务平台,其后端服务的稳定性和安全性尤为重要。因此,在2024年的春季招聘中,美团特别强调候选人对Spring框架中CORS处理机制的深入理解和实践能力。
SpringSecurity学习(六)CORS跨域、异常处理
Huathy的博客
03-12 3181
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
09 SpringSecurity-跨域CORS
02-17 5133
一、认识跨域 很多人误认为资源跨域时无法请求,通常情况下时可以正常发起的(部分浏览器存在特例),后端也进行了正常处理,只是在返回时被浏览器拦截,导致响应内容无法使用。可以论证这一点的著名案例就是CSRF跨站攻击。 CSRF跨站攻击 CSRF(Cross Site Request Forgery) 跨站请求伪造。也被称为One Click Attack和Session Riding,通常缩写为CSRF或XSRF。通常来说就是攻击者盗用你的身份,以你的名义发送恶意请求。 注意这是真实的攻击手段: 举
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3790
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
spring boot配合前端实现跨域请求访问
08-30
另一种Spring Boot处理跨域的方式是创建一个继承自`WebMvcConfigurerAdapter`的配置类,重写`addCorsMappings`方法。例如: ```java @Configuration public class CorsConfig extends WebMvcConfigurerAdapter ...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
综上所述,解决Vue+Spring Boot跨域和Session失效问题的关键在于配置CORS策略以允许携带Cookie的跨域请求,并确保Session配置正确。同时,考虑采用Token认证机制,如JWT,以实现更灵活的认证和授权管理。
Spring 跨域解决方案官方 demo
05-15
Spring框架提供了内置支持来处理CORS,使得开发者能够方便地配置跨域请求。本教程将深入探讨Spring提供的CORS解决方案,通过官方示例(demo)来阐述如何实现这一功能。 首先,我们要明白什么是跨域跨域是指一个域...
2小时学会电商订单提交CORS跨域解决方法
06-18
在职开发人员学完后会让你的薪资更高,让你更了解互联网是如何解决高并发 学完SSM框架的同学就可以学习,能让你切身感受到企业级开发环境目标1:掌握跨域请求CORS解决方案目标2:完成结算页收货人地址选择功能目标3:...
spring-security3 入门篇
03-27
本入门篇将介绍Spring Security的基础知识,包括其核心概念、配置以及如何在实际项目中使用。 1. **核心概念** - **Authentication(认证)**: 用户身份验证是Spring Security的基础,它确认用户的身份是否合法。...
Spring Security实战(六)—— 跨域CORS
weixin_49561506的博客
04-24 1165
spring security实战之跨域CORS
【has been blocked by CORS policy】 解决后端使用spring boot + spring security 框架时的跨域问题
cheendf的博客
08-15 496
在解决问题之前先了解一下什么是CORSCORS即为了解决浏览器同源问题,W3C 提出的跨源资源共享,即 CORS(Cross-Origin Resource Sharing)。也就是在前后端分离的情况下,后端服务允许前端服务访问自己的资源。CORS 做到了如下两点:不破坏即有规则服务器实现了 CORS 接口,就可以跨源通信所以解决跨域问题的基本思路就是在请求头中加入以上内容:每个header 的值可以根据自己的需求指定,也可以使用 “*” 代替,表示全部通过。
Spring全家桶-Spring Security跨域CORS与防护
HQ DevJ的专栏
05-29 1039
Spring全家桶-Spring Security跨域CORS Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security跨域CORS前言一、跨域
Spring Boot、Spring securitySpring MVC整合使用,CORS跨域问题
jiaoqi6132的博客
10-15 522
声明:跨域的问题,前端和后端都能解决,CORS本身是在后端解决的,但是前端通过代理使请求变成不跨域也能解决,就看前端和后端开发人员的较量了。 问题:Spring Security提供的login接口访问不成功,OPTIONS预请求报错 报错信息: Access to XMLHttpRequest at 'http://localhost:8080/sockjs-node/info?t=1565081611944' from origin 'http://xxxxx:8080' has been blo
SpringBoot在使用SpringSecurity时,配置跨域过滤器CorsFilter不生效分析解决
qq_43073162的博客
02-10 5832
且this类型为FilterRegistrationBean,进入FilterRegistrationBean的getFilter()方法,返回为this.filter,查找filter的赋值操作setFilter()查看CorsFilter类可以知道跨域逻辑主要在以下doFilterInternal()方法执行,在此方法添加断点,debug执行,发送请求时未执行此方法,由此判断CorsFilter未执行过滤逻辑。
springsecurity解决cors跨域
05-05
Spring Security 中,可以使用 `CorsConfigurationSource` 接口来配置 CORS 跨域请求。下面是一个简单的示例: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // ... .cors().and() // ... } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET","POST", "OPTIONS", "DELETE", "PUT")); configuration.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 上面的示例中,我们通过 `cors()` 方法来启用 CORS,然后通过 `corsConfigurationSource()` 方法来配置 CORS。在配置中,我们设置 `allowedOrigins`、`allowedMethods`、`allowedHeaders` 分别表示允许跨域请求的来源、方法和头部信息。 需要注意的是,在上面的示例中,我们设置了 `allowedOrigins` 为 `"*"`,表示允许来自任意来源的跨域请求。在实际应用中,为了安全起见,应该根据实际情况设置允许的来源,避免恶意攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值