SpringBoot 项目[若依项目禁止OPTIONS等不安全的请求] 增加 OPTIONS 不安全请求处理

最新推荐文章于 2025-05-19 16:05:46 发布
最新推荐文章于 2025-05-19 16:05:46 发布
阅读量6.6k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 若依 文章标签: 安全 spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33317238/article/details/122111477
本文介绍了一个使用若依框架实现的过滤器,该过滤器能够拦截并处理不安全的OPTIONS请求,仅允许POST和GET方法,并返回自定义错误消息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

若依框架禁止OPTIONS不安全请求的处理

通过Filter进行处理

  • 增加filter处理器
package com.unicom.tsm.framework.config;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
* @author: Lxy
*
*/
@Component
public class CorsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res,
                         FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;
        response.setHeader("Access-Control-Allow-Origin", "*");
        // 当前只支持POST 跟GET
        response.setHeader("Access-Control-Allow-Methods",
                "POST, GET");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers",
                "Content-Type, x-requested-with, X-Custom-Header, Authorization");
         // 对OPTIONS请求进行拦截处理
        if("OPTIONS".equalsIgnoreCase(request.getMethod())){
            response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
            ServletOutputStream outputStream = response.getOutputStream();
            outputStream.write(new String("不安全的请求".getBytes(),"utf-8").getBytes());
            outputStream.flush();
        }else {
            chain.doFilter(req, res);
        }

    }

    @Override
    public void destroy() {
    }
}

添加如上代码然后运行一下试试,本地测没问题
在这里插入图片描述

Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 1619
项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
Web 应用程序报告: 启用了安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5565
Web 应用程序报告 有一项叫做启用了安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
SpringBoot项目禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞】
ZQL666123的博客
10-20 3656
SpringBoot项目禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞,漏洞扫描时修复漏洞
若依框架之Filter过滤器Interceptor拦截器Spring AOP切面(1)
最新发布
yun2223的专栏
05-19 962
本文简要介绍了Spring框架中的过滤器、拦截器和切面AOP的概念及其应用。过滤器主要用于处理HTTP请求,如设置字符编码和鉴权操作,但无法获取处理请求方法的信息。拦截器则能获取请求信息和处理方法,但无法获取方法参数,常用于请求生命周期的介入。切面AOP基于方法切入,能获取方法参数,常用于日志记录和数据过滤等操作。文章还通过若依框架中的具体实现,展示了这些组件的实际应用,如JwtAuthenticationTokenFilter、RepeatSubmitInterceptor和LogAspect等。通过这些
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最要使用,他们认为安全。 三、nginx中的配置: server { listen ...
SpringBoot_Ajax_处理options请求
Onion的博客
03-28 1389
function https(url,type,data,header,callback) { $.ajax({ url:url, type:type, data:data, contentType:'application/json', headers:header, crossDomain...
SpringBoot:SaToken的options预检请求鉴权失败
席木木的博客
01-12 641
使用如下sa-token配置,前端通过IP+端口号的方式访问后端服务,会存在options预检请求鉴权失败的问题。
SpringBoot解决跨域请求OPTIONS问题
一行Java的博客
09-20 8589
定义过滤器import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * 解决vue前端OPTIONS跨域问题 */ public class CorsFilter implements Filter { @Override pu...
Springboot处理CORS跨域请求的三种方法
08-19
总结来说,Spring Boot提供了多种处理CORS跨域请求的方式,可以根据实际项目的需求选择合适的方法。无论选择哪种方式,核心都是通过设置`Access-Control-Allow-*`响应头来告诉浏览器允许哪些跨域请求。了解这些方法...
springboot使用filter获取自定义请求头的实现代码
08-26
Spring Boot 使用 Filter 获取自定义请求...本文主要介绍了 Spring Boot 使用 Filter 获取自定义请求头的实例代码,包括 Filter 的基本概念、使用 Filter 获取自定义请求头、解决跨域问题、处理 OPTIONS 请求等知识点。
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1826
渗透测试结果为 安全的HTTP方法 OPTIONSspring项目可通过设置tomcat 或者 nginx 禁止
SpringBoot 参数处理处理Optional和Pageable参数
qq_45149567的博客
04-25 773
在实际应用中,处理器方法的参数各式各样,遇到 Optional< Boolean > 和 Pageable 参数,SpringBoot 是如何进行解析的呢?参数 5 和参数 6 对应的参数是 Optional< Boolean > 和 Pageable 类型,下面我们进到 SpringBoot 参数解析部分看看这俩特殊参数是如何进行解析的;
web端vue项目跨域避免options请求
weixin_30925411的博客
03-22 3921
vue项目前端配置: Axios.defaults.timeout = 10000 Axios.defaults.baseURL = ApiUrl.baseURL Axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest'; Axios.defaults.withCredentials = true /...
springboot解决CORS 跨域问题,options请求出现403
qq_21138747的博客
05-02 2824
明明代码请求是post结果发现控制台的细节发现请求options,于是查了一下网上的原因 因为请求是跨域,所以会先发一个options看看支支持跨域,如果服务器支持跨域才会发原来的请求。 然后本身我的后端代码并没有配置相关跨域的信息,所以能支持跨域第二个正常的请求会再发了,最后只要将后端的Controller类上加一个注解 @CrossOrigin(origins = "http://127.0.0.1:8080") //origins ="允许跨域访问的协议+ip+端口" //如果想设置所有地.
java option请求_如何在Spring Boot处理HTTP OPTIONS请求
weixin_39751327的博客
02-16 1488
选项1:Spring Boot属性(仅限Spring Boot 1.3.0)从Spring Boot 1.3.0开始,可以使用以下属性配置此行为:spring.mvc.dispatch-options-request=true选项2:自定义DispatcherServletSpring Boot中的 DispatcherServlet 由 DispatcherServletAutoConfigur...
若依框架拦截器
qq_45647792的博客
08-14 1775
前置拦截器的代码位于request.js文件中,具体路径为:src/utils/request.js可见request.js文件中有这一句,其作用是对axios发送请求的组件,其含义是在每次发送请求时头部的内容(Content)类型(Type)都设置为此编码格式(application/json;那么前置拦截器实际上做了哪些事清呢?
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法。 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
启用了安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 2614
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
spring boot使用内嵌的tomcat解决安全的HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全的HTTP方法,如果对这个安全漏洞有明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全的方法进行拦截。下面,我们重点说下第二种方案,因为
Python Tornado:跨域请求Options处理详解
跨域请求是指前端(如Vue)与同源的后端(如Java SpringBoot或Python Tornado)进行通信时,浏览器会自动发送一个预检请求Options请求),以验证服务器是否允许这种跨域请求。 Option请求处理 在Tornado中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值