spring跨域(iframe访问页面)

最新推荐文章于 2023-04-27 10:00:00 发布
最新推荐文章于 2023-04-27 10:00:00 发布
阅读量878 收藏
点赞数
分类专栏: spring 文章标签: spring
本文为博主原创文章,转载请标明原址
本文链接:https://blog.csdn.net/zheng911209/article/details/107818489
版权

线上B系统通过iframe的方式嵌入B系统的页面,结果报如下错误

最初网上查询得到的办法是加了如下过滤器

@WebFilter(filterName = "/corsFilter", urlPatterns = {"/*"})
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        if (res instanceof HttpServletResponse) {
            final HttpServletResponse response = (HttpServletResponse) res;
            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
            response.setHeader("Access-Control-Allow-Headers", "*");
            response.setHeader("Access-Control-Max-Age", "3600");
        }

        chain.doFilter(req, res);
    }

    @Override
    public void destroy() {
    }

    @Override
    public void init(FilterConfig config) throws ServletException {
    }
}

然而并没有用,后面在同事的提醒下在cookie上加上SameSite=None; Secure;防止浏览器拦截,因为用的spring security,所以设置了setSameSite(spring security若不设置SameSite,默认为lax类型),改成如下

   @Bean
    public CookieSerializer cookieSerializer() {
        DefaultCookieSerializer serializer = new DefaultCookieSerializer();
        serializer.setSameSite(null);//加入的参数
        serializer.setCookiePath("/");
        serializer.setCookieMaxAge(604800);
        serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$");
        return serializer;
    }

自己这边测试浏览器可以访问嵌入的iframe了,但是同事那边不知道为什么还是不行,改成如下:

    @Bean
    public CookieSerializer cookieSerializer() {
        DefaultCookieSerializer serializer = new DefaultCookieSerializer();
        serializer.setSameSite("None");//加入的参数
        serializer.setUseSecureCookie(true);//加入的参数
        serializer.setCookiePath("/");
        serializer.setCookieMaxAge(604800);
        serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$");
        return serializer;
    }

然而还存在一个问题是,setUseSecureCookie参数只有在https才有效,http使用会出问题,所以判断请求是不是https来设置secure,具体实现如下,自定义CustomCookieSerializer继承DefaultCookieSerializer,重写writeCookieValue方法

import org.apache.commons.lang3.StringUtils;
import org.springframework.session.web.http.DefaultCookieSerializer;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.time.Clock;
import java.time.Instant;
import java.time.ZoneOffset;
import java.time.ZonedDateTime;
import java.time.format.DateTimeFormatter;
import java.util.Base64;
import java.util.BitSet;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class CustomCookieSerializer extends DefaultCookieSerializer {

    private static final BitSet domainValid = new BitSet(128);

    static {
        for (char c = '0'; c <= '9'; c++) {
            domainValid.set(c);
        }
        for (char c = 'a'; c <= 'z'; c++) {
            domainValid.set(c);
        }
        for (char c = 'A'; c <= 'Z'; c++) {
            domainValid.set(c);
        }
        domainValid.set('.');
        domainValid.set('-');
    }

    private Clock clock = Clock.systemUTC();

    private String cookieName = "SESSION";

    private Boolean useSecureCookie;

    private boolean useHttpOnlyCookie = true;

    private String cookiePath;

    private Integer cookieMaxAge;

    private String domainName;

    private Pattern domainNamePattern;

    private String jvmRoute;

    private boolean useBase64Encoding = true;

    private String rememberMeRequestAttribute;

    private String sameSite = "None";

    @Override
    public void writeCookieValue(CookieValue cookieValue) {
        HttpServletRequest request = cookieValue.getRequest();
        HttpServletResponse response = cookieValue.getResponse();
        StringBuilder sb = new StringBuilder();
        sb.append(this.cookieName).append('=');
        String value = getValue(cookieValue);
        if (value != null && value.length() > 0) {
            validateValue(value);
            sb.append(value);
        }
        int maxAge = getMaxAge(cookieValue);
        if (maxAge > -1) {
            sb.append("; Max-Age=").append(cookieValue.getCookieMaxAge());
            ZonedDateTime expires = (maxAge != 0) ? ZonedDateTime.now(this.clock).plusSeconds(maxAge)
                    : Instant.EPOCH.atZone(ZoneOffset.UTC);
            sb.append("; Expires=").append(expires.format(DateTimeFormatter.RFC_1123_DATE_TIME));
        }
        String domain = getDomainName(request);
        if (domain != null && domain.length() > 0) {
            validateDomain(domain);
            sb.append("; Domain=").append(domain);
        }
        String path = getCookiePath(request);
        if (path != null && path.length() > 0) {
            validatePath(path);
            sb.append("; Path=").append(path);
        }

        if (this.useHttpOnlyCookie) {
            sb.append("; HttpOnly");
        }

        //主要修改这个
        String url = request.getRequestURL().toString();
        if (StringUtils.isNotBlank(url) && url.startsWith("https")) {
            sb.append("; SameSite=None; Secure");
        }

        response.addHeader("Set-Cookie", sb.toString());
    }

    /**
     * Encode the value using Base64.
     *
     * @param value the String to Base64 encode
     * @return the Base64 encoded value
     * @since 1.2.2
     */
    private String base64Encode(String value) {
        byte[] encodedCookieBytes = Base64.getEncoder().encode(value.getBytes());
        return new String(encodedCookieBytes);
    }

    private String getValue(CookieValue cookieValue) {
        String requestedCookieValue = cookieValue.getCookieValue();
        String actualCookieValue = requestedCookieValue;
        if (this.jvmRoute != null) {
            actualCookieValue = requestedCookieValue + this.jvmRoute;
        }
        if (this.useBase64Encoding) {
            actualCookieValue = base64Encode(actualCookieValue);
        }
        return actualCookieValue;
    }

    private void validateValue(String value) {
        int start = 0;
        int end = value.length();
        if ((end > 1) && (value.charAt(0) == '"') && (value.charAt(end - 1) == '"')) {
            start = 1;
            end--;
        }
        char[] chars = value.toCharArray();
        for (int i = start; i < end; i++) {
            char c = chars[i];
            if (c < 0x21 || c == 0x22 || c == 0x2c || c == 0x3b || c == 0x5c || c == 0x7f) {
                throw new IllegalArgumentException("Invalid character in cookie value: " + c);
            }
        }
    }

    private int getMaxAge(CookieValue cookieValue) {
        int maxAge = cookieValue.getCookieMaxAge();
        if (maxAge < 0) {
            if (this.rememberMeRequestAttribute != null
                    && cookieValue.getRequest().getAttribute(this.rememberMeRequestAttribute) != null) {
                // the cookie is only written at time of session creation, so we rely on
                // session expiration rather than cookie expiration if remember me is
                // enabled
                cookieValue.setCookieMaxAge(Integer.MAX_VALUE);
            } else if (this.cookieMaxAge != null) {
                cookieValue.setCookieMaxAge(this.cookieMaxAge);
            }
        }
        return cookieValue.getCookieMaxAge();
    }

    private void validateDomain(String domain) {
        int i = 0;
        int cur = -1;
        int prev;
        char[] chars = domain.toCharArray();
        while (i < chars.length) {
            prev = cur;
            cur = chars[i];
            if (!domainValid.get(cur) || ((prev == '.' || prev == -1) && (cur == '.' || cur == '-'))
                    || (prev == '-' && cur == '.')) {
                throw new IllegalArgumentException("Invalid cookie domain: " + domain);
            }
            i++;
        }
        if (cur == '.' || cur == '-') {
            throw new IllegalArgumentException("Invalid cookie domain: " + domain);
        }
    }

    private void validatePath(String path) {
        for (char ch : path.toCharArray()) {
            if (ch < 0x20 || ch > 0x7E || ch == ';') {
                throw new IllegalArgumentException("Invalid cookie path: " + path);
            }
        }
    }

    private boolean isSecureCookie(HttpServletRequest request) {
        if (this.useSecureCookie == null) {
            return request.isSecure();
        }
        return this.useSecureCookie;
    }

    private String getDomainName(HttpServletRequest request) {
        if (this.domainName != null) {
            return this.domainName;
        }
        if (this.domainNamePattern != null) {
            Matcher matcher = this.domainNamePattern.matcher(request.getServerName());
            if (matcher.matches()) {
                return matcher.group(1);
            }
        }
        return null;
    }

    private String getCookiePath(HttpServletRequest request) {
        if (this.cookiePath == null) {
            return request.getContextPath() + "/";
        }
        return this.cookiePath;
    }

}

 


    @Bean
    public CookieSerializer cookieSerializer() {
        CustomCookieSerializer serializer = new CustomCookieSerializer();

        return serializer;
    }

 

9随遇而安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.x系列教程36--整合SpringMVC之CORS跨域访问处理(上)
一一哥
03-28 572
SpringBoot2.x系列教程36--整合SpringMVC之CORS跨域访问处理(上) 作者:一一哥 一. 跨域问题及解决 1. 什么是跨域访问? JavaScript出于安全方面的考虑,做了一个同源策略的限制,也就是说不允许跨域访问其他资源,更通俗的说就是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。 2. 什么是同源策...
iframe跨域session丢失问题
weixin_34216107的博客
09-17 171
为什么80%的码农都做不了架构师?>>> ...
Spring Filter处理跨域
zhanghe_zht的博客
01-27 1957
public class CORSFilter implements Filter { @Override public void init(FilterConfig filterConfig) { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOEx
Iframe跨域访问的问题,session 丢失的问题
iteye_12066的博客
11-12 129
iframe 保航的页面服务器(resin)写一个filter 设置一下返回的((HttpServletResponse)response).setHeader("P3P","CP=\"IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT\""); Tag Description ...
解决 Iframe跨域session 丢失问题
asdfgh0077的博客
08-06 1817
解决 Iframe跨域session 丢失问题
跨域修改iframe页面内容详解
12-13
需要将proxy.html放到与内嵌的iframe页同域的服务下, 并且可以被访问到. 使用 支持2种调用方式: 使用 postMessage 和 URL params. postMessage 该方法需要使用 JSON.stringify 将对象转为字符串. // React function...
iframe与主框架跨域相互访问
12-27
iframe 与主框架相互访问例子,包含同域访问跨域访问例子。
iframe 跨域访问session
01-28
iframe 跨域访问session问题解决方法
Spring 跨域配置请求详解
08-26
主要介绍了Spring 跨域配置请求详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
iframe与主框架跨域相互访问实现方法
08-29
今天正好需要用到iframe 与主框架相互访问的实现方法,正好看到了这篇文章,确实不错,特分享一下,需要的朋友可以参考下
跨域iframe或者frameset时session丢失问题的解决
球痴窝
01-31 191
最近在做跨域页面,要取出sesion的值做判断,Response.AddHeader("P3P","CP=CAO PSA OUR");一段解决IFRAME中SESSION无法保留的代码要理解原理.p3p是微软的隐私策略,通常情况下跨域iframe或者frameset默认采用的隐私策略为“中”,该级别的策略拒绝保留session。CAO PSA OUR则意味着你同意跨域保留session,但是也意...
springboot shiro iframe中请求Session失效后iframe内跳转到登录页解决方案后续
码农的世界
02-07 1994
在解决方案一中解决了iframe session超时跳转到登录页问题,但是第二个问题来了,超时登陆后,出现直接跳转到了iframe的内容页,翻看了shiro官方文档,意思是shiro默认记住了超时登录之前的url放到了shiro自己的session内,当重新登录后,会获取session中的url,然后跳转过去,解决每次超时都跳转到首页的问题。 但是咱们的问题是他每次超时跳转都直接跳转到了if...
iframe嵌入页面之Cookies存取
song279811799的博客
04-10 2万+
iframe无法读取cookie
Spring Security配置 解决X-Frame-Options deny 造成的页面空白 iframe调用问题
xqhys的博客
02-13 3215
转载:http://www.cnblogs.com/zmc/p/8260786.html spring Security下,X-Frame-Options默认为DENY,非Spring Security环境下,X-Frame-Options的默认大多也是DENY,这种情况下,浏览器拒绝当前页面加载任何Frame页面,设置含义如下:     DENY:浏览器拒绝当前页面加载任何Frame页面  ...
SpringBoot系列】实现跨域的几种方式
热门推荐
Venus's Blog
04-27 8万+
跨域是指一个域下的文档或脚本试图去请求另一个域下的资源,或者涉及到两个不同域名的资源之间的交互。由于同源策略(Same Origin Policy)的限制,浏览器不允许跨域请求。同源策略规定,A网页设置的Cookie、LocalStorage和IndexDB无法被同源以外的网页读取。跨域请求会被浏览器拒绝。举个例子:-和是两个不同的域名,它们之间的请求就是跨域请求。和虽然路径不同,但是域名相同,所以不是跨域。ss。
SpringBoot整合SpringSession以及自定义CookieSerializer和RedisSerializer详解
qq_47768542的博客
04-16 9008
官方文档:https://docs.spring.io/spring-session/docs/2.2.6.RELEASE/reference/html5/#api-cookieserializer 引入SpringSession依赖 <!-- SpringSession,解决分布式session共享问题--> <dependency> <groupId>org.springframework.session</groupId.
SpringBoot解决关于跨域导致sessionId不一致问题
liuzhongyu
09-09 5877
在用谷歌的kaptcha做验证码登录校验遇到了如下问题 用谷歌浏览器(版本85)访问验证码
Springboot 解决跨域的方法
weixin_45407811的博客
11-19 2029
本文由 https://juejin.cn/post/7000578331485667359
基于spring_session实现的分布式集群会话管理
bug_404的博客
10-11 919
1:基本环境需求:进行使用Spring Session的话,首先的是已经安装好的有一个 Redis服务器! 2:添加依赖 org.springframework.session spring-session-data-redis ${spring-session-redis.version} org.s
iframe跨域访问页面
最新发布
09-13
要实现iframe跨域访问页面,需要满足以下条件: 1. 父页面和子页面都是自己可以控制的。 2. 被嵌入的页面不属于同一个域名、协议或端口号的源。 实现iframe跨域访问页面可以采用以下方法: 1. 使用postMessage:通过在父页面和子页面之间进行消息传递,可以安全地实现跨域通信。父页面可以使用`window.postMessage()`方法向子页面发送消息,子页面可以通过监听`message`事件接收并处理这些消息。这种方式允许双向通信,并且在不同的窗口间传递数据时更加安全可靠。 2. 设置document.domain:如果父页面和子页面具有相同的顶级域名,但不同的子域名,可以通过设置相同的document.domain来实现跨域访问。例如,如果父页面的域名是`example.com`,子页面的域名是`sub.example.com`,可以在父页面和子页面中都设置`document.domain = "example.com"`。这样,它们就可以进行跨域通信。 3. 使用CORS(跨域资源共享):在服务器端配置响应文件的HTTP头,允许来自其他域的页面访问。服务器需要设置特定的响应头,包括`Access-Control-Allow-Origin`来指定允许访问的域名。 总结起来,要实现iframe跨域访问页面,可以使用postMessage、设置document.domain或使用CORS来进行跨域通信。这些方法都可以确保安全地进行跨域访问,并实现在父页面和子页面之间的数据传递和通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值