SpringBoot 优雅配置跨域多种方式及Spring Security跨域访问配置的坑

最新推荐文章于 2025-04-14 23:01:53 发布
最新推荐文章于 2025-04-14 23:01:53 发布
阅读量401 收藏 1
点赞数
分类专栏: 程序员 Java 文章标签: spring ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/manong20210713/article/details/119979761
版权
本文详细介绍了在SpringBoot项目中处理跨域问题的多种方式,包括JSONP、CORS,以及SpringBoot的@CrossOrigin注解、拦截器和Filter过滤器方法。特别指出,当使用Spring Security时,单纯配置SpringBoot的跨域并不足够,需要在Spring Security中启用CORS支持,以确保跨域请求能正常工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言#

最近在做项目的时候,基于前后端分离的权限管理系统,后台使用 Spring Security 作为权限控制管理, 然后在前端接口访问时候涉及到跨域,但我怎么配置跨域也没有生效,这里有一个坑,在使用Spring Security时候单独配置,SpringBoot 跨越还不行,还需要配置Security 跨域才行。

什么是跨域#

跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问

在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等标签以及 Ajax 都可以指向一个资源地址,而所谓的跨域请求就是指:当前发起请求的域与该请求指向的资源所在的域不一样。这里的域指的是这样的一个概念:我们认为若协议 + 域名 + 端口号均相同,那么就是同域

当前页面URL和请求的URL首部(端口之前部分)不同则会造成跨域。通俗点讲就是两个URL地址,端口之前部分,只要有一点不同即发生跨域。

例如:

1. 在http://a.baidu.com下访问https://a.baidu.com资源会形成协议跨域。

2. 在a.baidu.com下访问b.baidu.com资源会形成主机跨域。

3. 在a.baidu.com:80下访问a.baidu.com:8080资源会形成端口跨域。

解决跨域的常见方式#

JSONP#

由于浏览器允许一些带有src属性的标签跨域,常见的有iframe、script、img等,所以JSONP利用script标签可以实习跨域

前端通过script标签请求,并在callback中指定返回的包装实体名称为jsonp(可以自定义)

<script src="http://aaa.com/getusers?callback=jsonp"></script>

后端将返回结果包装成所需数据格式

jsonp({
    "error":200,
    "message":"请求成功",
    "data":[{
        "username":"张三",
        "age":20
    }]
})

总结:JSONP实现起来很简单,但是只支持GET请求跨域,存在较

最低0.47元/天 解锁文章
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2679
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
springSpringboot设置访问 & Spring Security设置访问
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 675
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security
Java后端快速解决问题:@CrossOrigin
最新发布
weixin_54524403的博客
04-14 1204
对于浏览器问题,大家都是如何解决的
SpringBoot报错合集 | 资源共享CORS | been blocked by CORS policy: No ‘Access-Control-Allow-Origin’
神马都会亿点点的毛毛张
10-20 1110
解决问题的主要方式有以下几种:使用 CORS:这是最标准、推荐的方法,适用于大多数场景。JSONP:仅用于GET请求,较为简单,但存在安全隐患。代理服务器:通过前端与代理服务器的交互避免直接。Nginx 反向代理:通过服务器配置代理请求,也是一种有效的解决方法。
CORS 资源共享漏洞
weixin_45653478的博客
03-21 2476
资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据。我们先来简单分析一下 CORS 获取资源的过程:CORS 定义了两种请求:简单请求 和 非简单请求。简单请求就是使用设定的请求方式请求数据,而非简单请求则是在使用设定的请求方式请求数据之前,先发送一个 OPTIONS 预检请求,验证请求源是否为服务端允许源。
Springboot后端CORS资源共享
comecny的博客
08-16 680
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2526
Springboot +spring security,解决问题
SpringBoot+SpringSecurity,研究了一宿
qq_54799493的博客
07-11 547
SpringSecurity配置错误,自定义登录页,拦截器不让过
Spring Boot 进阶-Spring Boot中如何解决问题
初学者
10-10 1360
浏览器出于安全考虑,会限制访问,就是不允许请求资源,要求协议,IP和端口必须都相同,其中有一个不同就会产生问题,这就是同源策略。简单的说A应用只能访问A应用对应的后台返回的数据,B应用只能访问B应用后台的数据,如果A应用通过Ajax请求了B应用对应的后台数据的时候就会出现的问题。但是在实际开发中,这种调用方式又是被大家广泛使用的。在CORS技术出现之前,在HTTP请求头中不能包含任何的自定义字段,而且HTTP请求信息也不能操作如下的一些Accept。
springBoot学习笔记九:CORS实现资源共享
chunlulin2540的博客
06-01 411
一、项目说明 项目环境:jdk1.8+tomcat8+idea2018 源代码github地址: 实现目标:如果做过前后端分离项目的人或多或少的都会遇到过请求的问题,这都是因为浏览器同源策略引起的,什么是?。解决方式有很多,比如jsonp、cors、if...
你可能不知道的CORS资源共享
10-17
主要给大家介绍了关于CORS资源共享的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用CORS具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringBoot—CORS问题详解和解决方案
lc66661111的博客
06-09 196
https://www.cnblogs.com/Andya/p/13590046.html
CORS资源共享漏洞的复现、分析、利用及修复过程
heike_Ch的博客
06-15 1639
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
spring boot整合security问题
佛说"獨" 的博客
06-05 459
在继承extends WebSecurityConfigurerAdapter中配置如下两个操作 @Override protected void configure(HttpSecurity http) throws Exception { //cors开启请求 http.cors().configurationSource(CorsConfigurationSource()) //配置 @Bean CorsConfigurationSo
springboot+springsecurity配置完整版(俺被了一个上午,特此前来用爱发电)
GD_MRS_LIN的博客
02-05 783
springboot配置不必多说,网上很多: 首先配置好,我用的是继承WebMvcConfigurer配置,还可以通过过滤器配置,我觉得这样应该是最方便了,缺点就是这种配置不能在interceptor中再配置header。 @Configuration public class MyWebConfigurer implements WebMvcConfigurer { @Autowired private LoginInterceptor loginInterceptor;
spring security 如何解决
冬阳
09-05 2008
介绍了什么是请求,传统web开发如何解决,springsecurity 如何解决方案,包含原理实现
springspringboot配置
11-03
SpringSpring Boot 在处理(CORS)请求方面提供了一定的便利。如果你想要允许特定名或所有来源访问你的 RESTful API,可以在以下几个位置配置 CORS: 1. **Spring MVC** (无 Spring Boot): 在 `WebMvcConfigurer` 接口中添加一个 `addCorsMappings` 方法,示例如下: ```java @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*") // 允许所有源 .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许的HTTP方法 .allowCredentials(true) // 是否允许携带cookie .maxAge(3600); // 缓存时间(单位秒) } ``` 2. **Spring Boot Actuator**: 如果你想在一个全局的层面上启用 CORS,可以创建一个自定义的 `WebFluxConfigurer` 或 `WebMvcConfigurer` 实现,并覆盖 `addCorsMappings` 方法。 3. **Spring Security**: 在 `SecurityConfiguration` 类中,你可以通过 `http` 对象的 `cors()` 方法添加 CORS 配置: ```java http.cors().and() .authorizeRequests(); ``` 4. **Spring Boot Actuator Management**: 如果你的 API 是为了管理目的而设计的,可以在 `ManagementServerProperties` 中设置 `info.security.cors.enabled` 为 `true`,并指定需要的 CORS 设置。 **相关问题--:** 1. 如何只允许特定访问Spring Boot API? 2. 我们如何在Spring MVC中处理预检请求(Preflight Request)? 3. 如何在Spring Boot中关闭默认的CORS配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值