SpringBoot 动态设置响应头的content-type

最新推荐文章于 2025-04-17 15:51:14 发布
原创 最新推荐文章于 2025-04-17 15:51:14 发布 · 1.8w 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

需求: 当你想要即能返回application/json又能返回application/xml 的时候

基本上设置content-type通用的做法就是@requestMapping里的produces参数设置MediaType

根据这篇文章,我还以为已经没有办法动态设置content-type了,直到我在StackOverflow里看到了ResponseEntity

然后根据它官网上的api, 用以下方法解决了

@PostMapping(value = "/test")
    public ResponseEntity<Object> test() {

        HttpHeaders headers = new HttpHeaders();
        //根据自己的需要动态添加你想要的content type
        headers.add(HttpHeaders.CONTENT_TYPE,MediaType.APPLICATION_JSON_VALUE);
        
        return new ResponseEntity<Object>("这里是你的响应体Object类和其子类都行",headers,HttpStatus.OK);
    }

另提一句, springboot也是能根据 @requestMapping里的consumes参数设置, 来区分调用哪个函数, 即便value是一样的

Springboot 中统一修改响应头两种方式
蔡定努
10-02 3667
Springboot 中统一修改响应头两种方式 方式一 :(AOP ) package com.cdn.test.ad; /** * @author CaiDingNu * @desc * @date 2021/10/02 21:54 */ import org.aspectj.lang.ProceedingJoinPoint; import org.aspectj.lang.annotation.Around; import org.aspectj.lang.annotation.Aspect
RestTemplate踩坑 之 ContentType 自动添加字符集
拾级而上
03-25 6003
写在前边 最近在写 OAuth2 对接的代码,由于授权服务器(竹云BambooCloud IAM)部署在甲方内网,所以想着自己 Mock 一下授权方的返回体,验证一下我的代码。我这才踩到了坑…… 故事背景 选择的 Mock 框架是 国产开源的 Moco(https://github.com/dreamhead/moco),先下载moco-runner-1.3.0-standalone.jar 再根据 Moco的官方文档(https://github.com/dreamhead/moco/blob/maste
Spring Boot 返回Content-Type解决方案
01-20
背景 前端同学需要Content-Type 字段返回,根据文件的类型不同返回不同的类型;还有就是直接打开一个下载链接,对于Chrome这样的浏览器其实支持自适应预览的效果。https://tool.oschina.net/commons/ 这里的链接中有好多好多的Content-type的类型!拿到这个问题,之前的伙伴有写了几个if else 判断图片、文档等等,但是支持不是很全面、谁知道之后还有什么样的格式类型返回呢?if else 不能从根本上解决问题。ps:作为程序员我也不想这么累,这种肯定有一种解决方案存在的。 解决方案 RestTemplate获取文件的contentType 这篇文
springboot设置Content-Type的踩坑记录
wakarimasu的博客
04-08 2569
最近遇到一个需求,需要根据上传文件的类型,设置response的Content-Type,代码的简单示例如下!但是,在进行测试时,发现接口响应的Content-Type始终是text/plain,导致浏览器渲染异常。对Springboot源码一步一步调试,最终找到问题原因:Springboot会根据接口的返回值类型,推断设置response的Content-Type。已上述代码为例,返回值为String类型,在方法中,selectedMediaType为text/plain,最后通过消息转换器的。
大聪明教你学Java | Spring Boot 项目设置 X-Content-Type-Options 响应头
不肯过江东丶
03-04 2万+
大聪明开发的应用系统已经上线三年了,然而就在昨天依然被扫描出了一个漏洞 —— 远程 Web 系统应用程序不采取措施来减轻一类 Web 应用程序漏洞,说白了就是远程网络应用程序不设置 X-Content-Type 响应头。刚看到扫描报告的时候还真有点麻爪,不知道如何下手,最后经过一番努力还是成功的修复了这个漏洞,那么借此机会,大聪明就和大家分享一下如何修复此类漏洞。
【日常笔记】Spring boot:编写 Content type = ‘text/plain‘ 接口
ladymorgana的博客
12-16 1264
项目场景:硬件回调接口。 text/plain
SpringBoot如何通过注释返回指定的response的contentType格式
qq_62335815的博客
12-07 1455
用注解快速设置响应头contentType
前端请求传参与后端匹配的接收方式&Content-Type类型
qq_39666711的博客
04-17 2281
是HTTP请求头中的⼀个标头,⽤于指示请求或响应中包含的实体的媒体类型,可以出现在请求或响应标头中。它告诉服务器如何处理客户端传过来的数据(通知服务器客户端正在发送的数据类型)、客户端如何处理响应中的数据。get请求的 headers 中是没有 content-type 这个字段的。content-type 是⽤来指定消息体的格式的,get请求⼀般没有消息体,所以,get 请求⼀般不⽤设置 content-type
SpringBoot中的server.context-path
棒棒糖的糖不含糖的博客
08-01 3189
书接上回,首先,先看一张图片。
springboot2——6 响应处理
yangpei的博客
09-20 522
尚硅谷springboot2响应处理学习记录
设置Strict-Transport-Security响应头【原理扫描】
tone1128的博客
07-12 1979
1.webconfig中添加响应头
springboot-netty框架搭建socket-websocket同端口服务端
u011001843的博客
03-26 6398
项目需求:搭建服务与设备进行socket通信;与api服务端进行http请求(或websocket)通信传递消息; 项目环境:IDEA+Maven ;springboot;mybatis;netty; 1.服务端DiscardServer /** * 丢弃任何进入的数据 启动服务端的DiscardServerHandler */ @Component public class Dis...
springmvc controller动态设置content-type
胡峻峥的博客
11-10 9464
  springmvc  RequestMappingHandlerAdapter#invokeHandlerMethod 通过ServletInvocableHandlerMethod#invokeAndHandle调用目标方法,并处理返回值。      如果return value != null,则通过returnvalueHandlers处理,内部会调用MessageConverter...
Spring Boot中设置响应头
weixin_42514002的博客
08-15 1579
Spring Boot中设置响应头Spring Boot应用程序中,设置HTTP响应头是一个常见的需求,尤其是当我们需要控制缓存、跨域资源共享(CORS)、安全性和内容类型等时。在本篇文章中,我们将介绍如何在Spring Boot中设置响应头,并提供实用的代码示例。 1. 什么是HTTP响应头? HTTP响应头是服务...
springboot 服务端根据请求头的 Content-Type的不同,处理方式不同
cpxsxn的博客
03-31 3913
PostMan 发送请求:Content-Type:application/x-www-form-urlencoded { "appCode":"StarDB", "age":100 } 后端: @PostMapping("/") public String create(OrderCreateDTO dto) { log.info("In the create: appCode = {}", dto.getAppCode()); log.info("In the crea
Content-Type详解&SpringBoot中如何根据Content-Type解析数据
qq_43842093的博客
11-24 8699
PathVariable、@RequestParam与@RequestBody注解三者的区别注解支持的类型支持的请求类型支持的Content-Type请求示例urlGET所有/test/{id}urlGET所有/test?id=1Bodyform-data或x-www.form-urlencodedid:1Bodyjson{“id”:1}
关于springboot返回类型设置ContentType属性
热门推荐
不浪漫罪名
02-28 3万+
最近做富文本编辑器ueditor,遇到一个问题:加载JS文件报错,Refused to execute script from because its MIME type (text/plain) is not executable, and strict MIME type checking is enabled...这个意思是说,动态加载js文件时返回Content-Type为text/pla...
springboot设置content-type不生效问题
zforler的博客
12-22 3149
使用的容器是tomcat,通过PrintWriter往前台写数据。 response.setHeader("content-type","text/plain;charset=utf-8");不生效。 response.getWriter()方法在setHeader()方法之后执行即可
springboot--http--contentType-application/x-www-form-urlencoded-post-get-json
wlwork66的博客
04-25 1918
multipart/form-data 当使用springMVC的MultipartFile写接口,进行文件的上传和下载的时候,你的http协议的contentType ,consume一般使用multipart/form-data
springboot项目修复X-Content-Type-Options HTTP Header missing on port 9091.安全漏洞,给出简单有效的几个方案与验证手段
最新发布
07-03
Spring Boot 项目中修复 `X-Content-Type-Options` HTTP 头缺失的安全漏洞,通常涉及配置 Web 安全性以确保响应头包含该字段。`X-Content-Type-Options` 是一种安全机制,用于防止浏览器 MIME 类型嗅探行为,从而减少某些类型的 XSS(跨站脚本攻击)风险。该头信息的值应设置为 `nosniff`。 ### 解决方案 #### 1. 配置 `X-Content-Type-Options` 响应头Spring Boot 应用中,可以通过自定义 `WebSecurityConfigurerAdapter` 或使用 `SecurityFilterChain` 来添加 HTTP 头。 以下是一个基于 `SecurityFilterChain` 的示例配置: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .headers(headers -> headers .contentSecurityPolicy(cps -> cps .policyDirectives("default-src 'self'; script-src 'self' https://trusted-cdn.com;") ) .and() .httpStrictTransportSecurity(hsts -> hsts .maxAgeInSeconds(31536000) .includeSubDomains(true) .preload(true) ) .and() .xssProtection(xss -> xss .block(true) ) .and() .frameOptions(frameOptions -> frameOptions .deny() ) .and() .contentTypeOptions(contentTypeOptions -> contentTypeOptions .block(false) // 设置 X-Content-Type-Options: nosniff ) ); return http.build(); } } ``` 上述代码通过 `.contentTypeOptions(contentTypeOptions -> contentTypeOptions.block(false))` 显式启用 `X-Content-Type-Options: nosniff` 响应头[^1]。 #### 2. 使用过滤器手动添加头信息 如果希望更细粒度地控制响应头,也可以通过实现 `OncePerRequestFilter` 并将其插入到 Spring Security 过滤链中: ```java import jakarta.servlet.FilterChain; import jakarta.servlet.ServletException; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpServletResponse; import org.springframework.stereotype.Component; import org.springframework.web.filter.OncePerRequestFilter; import java.io.IOException; @Component public class CustomHeaderFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { response.setHeader("X-Content-Type-Options", "nosniff"); filterChain.doFilter(request, response); } } ``` 然后将此过滤器注册到 Spring Security 配置中: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.addFilterBefore(new CustomHeaderFilter(), SecurityPropertiesFilter.class); return http.build(); } ``` ### 验证方法 #### 1. 使用 Postman 或 curl 检查响应头 启动应用后,可以使用 `curl` 命令访问任意端点并检查返回头信息: ```bash curl -I http://localhost:8080/ ``` 期望看到如下输出: ``` HTTP/1.1 200 OK X-Content-Type-Options: nosniff ... ``` #### 2. 使用浏览器开发者工具检查响应头 打开 Chrome 开发者工具 (F12),切换到 **Network** 标签页,选择任意请求,在 **Headers** 部分查看是否存在 `X-Content-Type-Options: nosniff`。 #### 3. 使用 OWASP ZAP 或 Burp Suite 扫描 使用专业的安全测试工具(如 [OWASP ZAP](https://www.zaproxy.org/) 或 [Burp Suite](https://portswigger.net/burp))对应用进行扫描,验证是否仍报告 `X-Content-Type-Options` 缺失问题。 --- ### 相关加固建议 除了修复 `X-Content-Type-Options` 缺失问题外,还应同时考虑其他安全头信息的配置,例如: - `X-Frame-Options`:防止点击劫持攻击[^1] - `X-XSS-Protection`:启用浏览器内置的 XSS 过滤功能 - `Content-Security-Policy`:限制资源加载来源,防范 XSS 和数据注入攻击 - `Strict-Transport-Security`:强制 HTTPS 连接,增强传输安全性[^1] --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值