五、跨域问题——Cors Filter

最新推荐文章于 2025-02-16 12:01:55 发布
原创 最新推荐文章于 2025-02-16 12:01:55 发布 · 2.5k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #前端 #xss #csrf

官方文档地址:CORS Filter : Cross-Origin Resource Sharing for Your Java Web Apps (dzhuvinov.com)

1.1、 引用方式

  • xml

<dependency>

<groupId>com.thetransactioncompany</groupId>

<artifactId>cors-filter</artifactId>

<version>[ version ]</version>

</dependency>

  • xml

<filter>

<filter-name>CORS</filter-name>

<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>

</filter>

<filter-mapping>

        <filter-name>CORS</filter-name>

        <url-pattern>/*</url-pattern>

</filter-mapping>

1.2、 配置参数

1.2.1、 cors.allowGenericHttpRequests

默认值为“true”。

  • true:允许一般http/https请求通过过滤器。
  • false:仅允许CORS请求通过过滤器。

建议默认配置“true”。

1.2.2、 cors.allowOrigin

默认值为“*”。

用于配置CORS过滤器允许的源地址列表。

如果允许所有源地址,则设置为“*”。

未被允许的源地址请求将直接被返回403状态——禁止(拒绝)请求。

建议默认配置“*”。

1.2.3、 cors.allowSubdomains

默认值为“false”。

  • true:允许源地址的所有子域名相关的源地址通过CORS过滤器。
  • false:不允许源地址的所有子域名相关的源地址通过CORS过滤器。

建议默认配置“false”。

注:子域通过比较其组合和后缀(主机名/IP地址和可选端口号)进行匹配。

1.2.4、 cors.supportedMethods

请求头参数为“Access-Control-Allow-Methods”。

默认值为“GET, POST, HEAD, OPTIONS”。

支持的http/https方法请求方式,如果前台请求方法所采用的方式不属于其中的内容,将被CORS过滤器拦截,并返回405状态——“不允许使用方法”,拒绝响应。

建议默认配置“GET, POST, HEAD, OPTIONS”。

1.2.5、 cors.supportedHeaders

请求头参数为“ Access-Control-Allow-Headers”。

默认值为“*”。

配置“*”时,允许请求头参数通过过滤器。

建议默认配置“Accept, Origin,X-Requested-With, Content-Type,Last-Modified”。

1.2.6、 cors.exposedHeaders

响应头参数为“ Access-Control-Expose-Headers”。

默认值为空。

响应报头指示哪些报头可以公开为通过。

默认情况下,只显示6个简单的响应头,包括“Cache-Control,Content-Language,Content-Type,Expires,Last-Modified,Pragma”。

建议默认配置“X-Test-1,X-Test-2”。

1.2.7、 cors.supportsCredentials

响应头参数为“ Access-Control-Allow-Credentials”。

默认值为“true”。

响应头用于在请求要求包含 credentials(Request.credentials 的值为 include)时,告知浏览器是否可以将对请求的响应暴露给前端 JavaScript 代码,例如cookies、authorization headers、TLS client certificates之类的。

  • true:允许。
  • false:不允许。

建议默认配置“true”。

1.2.8、 cors.maxAge

响应头参数为“ Access-Control-Max-Age”。

默认值为“-1”。

这个响应头表示preflight request(预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息)可以被缓存多久。

建议默认配置“3600”。

1.2.9、 cors.tagRequests

默认值为false。

是否启用请求标记,以便在整个后端服务(filter/servlet)请求处理链路中均可以获取请求的CORS信息。

  • true:开启。
  • false:不开启。

建议默认配置“true”。

请求标记包含以下四项:

  1. isCorsRequest:标记请求是否为跨域请求,值为“true或false”。
  2. origin:标记请求的源地址,未定义时为“null”。
  3. requestType:如果为跨域请求时,该请求标记主要标记当前正在进行的是真实(actual)请求,还是预检(preflight)请求,值为“actual或preflight”。
  4. requestHeaders:如果当前为跨域请求且为预检方式,则可获取“Access-Control-Request-Headers”的值,如果未定义,则为“null”。
系】为何配置了corsFilter还是出现问题
run_boy_2022的博客
04-20 2743
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter来处理的。为了本地容易测试这个问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,问题应该就可以解决了,但是当我访问的时候还是会出现问题。虽然添加了的配置,这里我的控制台竟然是问题
基于前后端分离模式下shiro问题解决方案
qq_36090190的博客
09-05 847
1.添加依赖 &lt;!-- shiro --&gt; &lt;dependency&gt; &lt;groupId&gt;com.thetransactioncompany&lt;/groupId&gt; &lt;artifactId&gt;cors-filter&lt;/artifactId&gt; &lt;version...
thetransactioncompany.cors.CORSFilter jar包
03-16
com.thetransactioncompany.cors.CORSFilter 所需jar包
CorsFilter
weixin_52236586的博客
04-09 3854
CorsFilter
spring boot 配置
Licht1988的博客
01-07 220
spring boot import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @Component public class CorsFi...
arcgis server10.2(cors-filter-1.7,java-property-utils-1.9)
12-03
在这个场景中,我们关注的是如何解决ArcGIS Server在处理请求时的问题,这涉及到Web开发中的一个重要概念——资源共享(CORS)。 是Web浏览器为了安全起见实施的一种策略,限制了JavaScript从一个源...
cors-filter-2.5.jar
09-07
标题中的“cors-filter-2.5.jar”是一个Java Web应用程序使用的库,专门用于处理资源共享(CORS)的问题CORS是一种机制,允许Web应用通过浏览器从不同源(即非同源策略允许的源)获取资源,以克服浏览器的同源...
GeoServer问题解决方案:CORS Filter包解析
标题和描述提到的“geoserver包”涉及到了Web GIS领中的重要功能——资源共享(CORS,Cross-Origin Resource Sharing)。Geoserver是一个开源的服务器软件,它允许用户将地理数据发布为地图切片或地图服务...
在各种服务器(nginx,apache,tomcat)上设置CORS设置.zip
01-06
本压缩包包含了在三种主流服务器——Apache、Nginx和Tomcat上设置CORS的方法。 **Apache服务器** Apache服务器可以通过修改`.htaccess`文件或者配置httpd.conf文件来实现CORS设置。在`.htaccess`文件中,可以添加...
关于前后端分离问题——使用DeepSeek分析查错
最新发布
潮落拾贝
02-16 892
总结,DeepSeek真的很强大,你完全可以将它作为你的一个老师,有问有答,按照思维逻辑循序递进,它不但可以读懂你的问题,代码,它还能读懂截图。因为DeepSeek直接写代码,也会和人类一样,会出错,有各种bug,并且人机交流过程中,它做的未必真的就是你想要的。为了验证我的猜测,我把头部自定义的头部信息删除后,再去测试,发现可以通过了,报错没有了,这证明了我的猜测是正确的。我就在想,要是问题,就应该所有请求都拒绝呀,不应该选择性拒绝呀,而且我后端也没做相关的请求过滤的语句,报错的有点蹊跷。
cors-filter:一个非常简单但有用的 CORS servlet 过滤器
06-19
cors过滤器 这个非常简单的项目受到spring source关于cors的帖子的强烈启发,原帖在 。 原帖和这个贡献的主要区别基本上是这个版本的 cors-filter 可以通过 servlet 过滤器的标准 inti-param 进行编程
tomcat服务器需要的CorsFilter jar文件
11-01
tomcat服务器部署后,访问遇到问题,资源包含需要的cors-filter-1.7.jarr和java-property-utils-1.9。测试无误,需要注意的是资源的命名空间为com.thetransactioncompany.cors
CorsFilter.jar
05-10
问题解决
cors-filter-1.7.jar
05-11
资源共享(CORS ) ;cors-filter-1.7.jar,java-property-utils-1.9.jar(此JAR也已提供)
cors-filter-1.7.jar,Java-property-utils-1.9.jar
01-02
cors-filter-1.7.jar,Java-property-utils-1.9.jar Arcgis Server 10.2 配置所需jar包
CORS Filter
热门推荐
xiaofeixiaqing的专栏
04-26 1万+
原文来自:CORS Filter CORS Filter是适用于支持Java web应用源资源共享(CORS)的首个统一解决方案。而源资源共享(CORS)是W3C近期一直致力于引入的保障从web浏览器到处理请求的服务器之间请求的标准化机制。 早期web浏览器为防止用户秘密信息泄露给第三方不同程度强制推行同源策略。同源策略在2000年早期转换为创新性XMLHttpRequest。
过滤器CORSFilter
花生福的博客
09-27 2985
CORSFilter @Component public class CORSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletR...
CorsFilter配置
lie_123的博客
08-28 1264
@Component public class CorsFilter implements Filter { @Override public void destroy() { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws S...
CorsFilter 应用案例说明
CTZL123456的博客
06-15 655
CorsFilter用于处理源资源共享(CORS)的过滤器。它允许配置CORS策略,使得服务器能够响应来自不同源的请求。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Small-BUG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值