spring 跨域CORS Filter

于 2025-03-10 22:59:41 发布
阅读量655 收藏 17
点赞数 16
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74825108/article/details/146166305
版权

方案一
spring中可以采用的跨域配置方式如下:

RequestMapping
在一般性的配置中,在controller前添加@CrossOrigin即可使用spring的默认配置,允许跨域
该注解也可以配置一些设定,适合针对个别的controller

@CrossOrigin

方案二
webconfig的方式配置全局跨域

@Configuration
public class JxWebMvcConfiguration extends WebMvcConfigurerAdapter {

? /**
? * Cross Origin Resource Support(CORS) for the Spring MVC.
? * automatically.
? * https://my.oschina.net/wangnian/blog/689020
? * http://spring.io/guides/gs/rest-service-cors/
? */
? /* @Override
? public void addCorsMappings(CorsRegistry registry) {
? registry.addMapping("*")
? .allowedOrigins("*").exposedHeaders("x-total-count","x-auth-token")
? .allowedMethods("GET", "HEAD", "POST", "PUT", "PATCH", "DELETE", "OPTIONS", "TRACE");
? }*/
}

这种方式的缺陷是,filter的顺序是固定的,在引入第三方组件的时候可能会因为filter滞后,导致出错
方案三
定制Filter

@Bean
public FilterRegistrationBean corsFilter() {
? UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
? CorsConfiguration config = new CorsConfiguration();
? config.setAllowCredentials(true);
? config.addAllowedOrigin("*");
? config.addAllowedHeader("*");
? config.addAllowedMethod("*");
? source.registerCorsConfiguration("/**", config);
? FilterRegistrationBean bean = new FilterRegistrationBean(new CorsFilter(source));
? bean.setOrder(0);
? return bean;
}

方案3缺陷
在3中,使用zuul的时候,的确解决了跨域问题,但是spring security的filter还是在其前边,引起登录的时候不能正常捕获401错误

@Bean
? ? public Filter corsFilter() {
? ? ? ? UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
? ? ? ? CorsConfiguration config = new CorsConfiguration();
? ? ? ? config.setAllowCredentials(true);
? ? ? ? config.addAllowedOrigin("*");
? ? ? ? config.addAllowedHeader("*");
? ? ? ? config.addAllowedMethod("*");
? ? ? ? config.addExposedHeader("x-auth-token");
? ? ? ? config.addExposedHeader("x-total-count");
? ? ? ? source.registerCorsConfiguration("/**", config);
? ? ? ? return new CorsFilter(source);
? ? }

? ? @Override
? ? protected void configure(HttpSecurity httpSecurity) throws Exception { ? ? ??
? ? ? ? httpSecurity.addFilterBefore(corsFilter(), ChannelProcessingFilter.class);
? ? ? }

spring security 标准Filter及其在filter chain的顺序

Alias

Filter Class

Namespace Element or Attribute

CHANNEL_FILTER

ChannelProcessingFilter

http/intercept-url@requires-channel

SECURITY_CONTEXT_FILTER

SecurityContextPersistenceFilter

http

CONCURRENT_SESSION_FILTER

ConcurrentSessionFilter

session-management/concurrency-control

HEADERS_FILTER

HeaderWriterFilter

http/headers

CSRF_FILTER

CsrfFilter

http/csrf

LOGOUT_FILTER

LogoutFilter

http/logout

X509_FILTER

X509AuthenticationFilter

http/x509

PRE_AUTH_FILTER

AstractPreAuthenticatedProcessingFilterSubclasses

N/A

CAS_FILTER

CasAuthenticationFilter

N/A

FORM_LOGIN_FILTER

UsernamePasswordAuthenticationFilter

http/form-login

BASIC_AUTH_FILTER

BasicAuthenticationFilter

http/http-basic

SERVLET_API_SUPPORT_FILTER

SecurityContextHolderAwareRequestFilter

http/@servlet-api-provision

JAAS_API_SUPPORT_FILTER

JaasApiIntegrationFilter

http/@jaas-api-provision

REMEMBER_ME_FILTER

RememberMeAuthenticationFilter

http/remember-me

ANONYMOUS_FILTER

AnonymousAuthenticationFilter

http/anonymous

SESSION_MANAGEMENT_FILTER

SessionManagementFilter

session-management

EXCEPTION_TRANSLATION_FILTER

ExceptionTranslationFilter

http

FILTER_SECURITY_INTERCEPTOR

FilterSecurityInterceptor

http

SWITCH_USER_FILTER

SwitchUserFilter

N/A

参考(4.3.6)

http://docs.spring.io/spring-security/site/docs/3.2.8.RELEASE/reference/htmlsingle/#ns-web-advanced

CORS Filter
xiaofeixiaqing的专栏
04-26 1万+
原文来自:CORS Filter CORS Filter是适用于支持Java web应用源资源共享(CORS)的首个统一解决方案。而源资源共享(CORS)是W3C近期一直致力于引入的保障从web浏览器到处理请求的服务器之间请求的标准化机制。 早期web浏览器为防止用户秘密信息泄露给第三方不同程度强制推行同源策略。同源策略在2000年早期转换为创新性XMLHttpRequest。
java处理处理
qxy_1218的博客
06-07 400
经常遇到加了但是前端访问还是会,很有可能是没有走你写的的流程,这时候加一个优先级就可以解决这个问题了。
系】为何配置了corsFilter还是出现问题
run_boy_2022的博客
04-20 2572
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter来处理的。为了本地容易测试这个问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,问题应该就可以解决了,但是当我访问的时候还是会出现的问题。虽然添加了的配置,这里我的控制台竟然是的问题。
cors-filter-1.7.jar spring解决问题 java
04-20
spring解决问题(两种方式,配有文档) cors-filter-1.7.jar java-property-utils-1.9.1.jar
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5960
一、什么是CORSCORS是一个W3C标准,全称是”资源共享”(Cross-origin resource sharing),允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起请求。 CORS Header Acce..
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决资源访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1970
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题:资源访问 CORS
[SpringSecurity5.6.2源码分析十一]:CorsFilter
qq_41662584的博客
09-18 253
【代码】[SpringSecurity5.6.2源码分析十一]:CorsFilter
详解Spring MVC CORS
08-30
详解 Spring MVC CORS 在 Web 开发中,资源共享(Cross-origin resource sharing,CORS)是一个非常重要的概念。它允许 Web 应用程序可以访问不同名下的资源,而不受同源策略的限制。今天,我们主要介绍...
spring MVC cors实现源码解析
08-31
Spring MVC CORS资源共享)实现源码解析 资源共享(CORS)是一种机制,允许Web应用程序在浏览器中向不同源(名、协议或端口)发送Ajax请求。根据W3C规范,如果请求的源与服务器资源的源不一致,就被...
cors-filter:一个非常简单但有用的 CORS servlet 过滤器
06-19
cors过滤器 这个非常简单的项目受到spring source关于cors的帖子的强烈启发,原帖在 。 原帖和这个贡献的主要区别基本上是这个版本的 cors-filter 可以通过 servlet 过滤器的标准 inti-param 进行编程
CorsFilter.jar
05-10
问题解决
cors-filter-1.7.1.jar
01-08
在做项目的时候,会遇到前后台分离开发,需要用到ajax,在后台方面,需要对项目进行相关配置,配置所需要的jar包都在这里面,导入到项目里面就可以进行设置了
cors-filter-2.6.jar
08-14
问题,后台解决方法依赖包
spring cloud CORS 报错 403
sinat_24619961的博客
04-28 2832
spring cloud CORS 报错 403 针对这个问题,之前是在zuul中过滤器配置: HttpServletRequest request = ctx.getRequest(); HttpServletResponse response = ctx.getResponse(); response.setHeader("Access-Control-Allow-Heade...
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
最新发布
weixin_42925623的博客
09-05 2688
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
SpringBoot Cors配置+原理分析(corsfilter
z69183787的专栏
06-24 4322
(951条消息) 的那些事 - CorsWebFilter 源码分析(二)_Lewis·fk的博客-优快云博客_corswebfilterhttps://blog.youkuaiyun.com/fk1778770286/article/details/115734587一文弄懂 CORS (前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot设置(CORS)_骑个小蜗牛的博客
CorsFilter
08-23
CorsFilter是一个用于处理请求的过滤器。它可以在Java Web应用程序中使用,通过设置HTTP响应头部信息来允许或拒绝请求。 对于一个请求,浏览器会发送一个预检请求(OPTIONS请求)来检查服务器是否允许该请求。CorsFilter可以通过配置允许的名、请求方法、请求头等信息,来判断是否允许该请求。 在处理请求时,CorsFilter可以帮助解决一些常见的安全问题,例如站点脚本攻击(XSS)和站点请求伪造(CSRF)。 需要注意的是,CorsFilter只是解决请求的一种方式,还有其他方法可以实现请求的处理,例如在服务器端配置CORS资源共享)规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值