【安全漏洞】SpringBoot + SpringSecurity CORS跨域资源共享配置

最新推荐文章于 2025-05-07 20:53:02 发布
最新推荐文章于 2025-05-07 20:53:02 发布
阅读量2.6k 收藏 30
点赞数 31
分类专栏: Spring SpringBoot BUG 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42925623/article/details/141926705
版权

SpringBoot CORS跨域资源共享

文章目录

前言

一个健壮的系统上线时,以及后续验收过程中,通常都会做系统安全测评,这是信息系统正式上线安全运行的重要环节。我们大概率会遇到一个叫:跨域资源共享漏洞的漏洞要求整改,具体描述大概是:“经测试发现服务器存在不安全的CORS配置,存在恶意跨域请求和内部信息泄露的风险。”今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。

一、什么是CORS?

CORS,全称是“跨源资源共享”(Cross-Origin Resource Sharing),是一种Web应用程序的安全机制,用于控制不同源的资源之间的交互。
在Web应用程序中,CORS定义了一种机制,通过该机制,浏览器能够限制哪些外部网页可以访问来自不同源的资源。源由协议、域名和端口组成。当一个网页请求另一个网页上的资源时,浏览器会检查请求是否符合CORS规范,以确定是否允许该请求。
CORS的工作原理是:当浏览器发送一个跨域请求时,它会附加一些额外的头部信息到请求中,这些头部信息包含了关于请求的来源和目的的信息。服务器可以检查这些头部信息并决定是否允许该请求。如果服务器允许请求,它会返回一个响应,其中包含一个名为“Access-Control-Allow-Origin”的头部信息,该信息指定了哪些源可以访问该资源。浏览器会检查返回的“Access-Control-Allow-Origin”头部信息,以确定是否允许该跨域请求。通过使用CORS,开发人员可以控制哪些外部网页可以访问他们的资源,从而提高应用程序的安全性。

二、配置CORS方法

1.nginx中配置跨域资源访问策略

nginx中配置跨域资源访问策略,在之前的博客中已经写过具体配置方法了,需要的朋友直接移步以下博客链接查看:
https://blog.youkuaiyun.com/weixin_42925623/article/details/134548502

2.springSecurity 过滤器链中配置跨域资源访问策略

在Spring框架中,我们可以在引入Spring Security依赖后,对Security的HttpSecurity进行设置,来开启CORS(跨域/源资源共享),同时能指定只被部分域/源、部分方法、部分头部信息访问资源。
(1)SecurityConfig中过滤器链的配置示例:

@Bean
    @Order(3)
    public SecurityFilterChain defaultFilterChain(HttpSecurity http
            , IGuavaCacheService guavaCacheService
            , IUsersService usersService
            , ICaptchaApi captchaApi
            , JwtEncoder jwtEncoder
            , JwtDecoder jwtDecoder) throws Exception {
   

        http.authorizeHttpRequests(requestMatcherRegistryCustomizer)
                .csrf().disable()
                //.cors().disable()//关闭cros配置
                //.cors(withDefaults())//默认cros配置允许所有来源访问
                .cors().and()//开启cros配置
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authenticationProvider(jwtAuthenticationProvider(jwtDecoder))

                //在UsernamePasswordAuthenticationFilter前边添加自定义用户认证处理器
                .addFilterBefore(new CustomUserAuthenticationFilter(authProperties.getLoginProcessingPath(), guavaCacheService.userLockService()), UsernamePasswordAuthenticationFilter.class)
                .addFilterBefore(new CaptAuthenticationFilter(captchaApi, authProperties.getLoginProcessingPath()), CustomUserAuthenticationFilter.
最低0.47元/天 解锁文章
后端分离系列 -- SpringBoot + Spring Security + Vue 实现用户认证 SpringSecurity如此简单
wanghuichen的博客
01-23 5170
后端分离系列 -- SpringBoot + Spring Security + Vue 实现用户认证 SpringSecurity如此简单
【Web安全】CORS资源共享漏洞
李火火的安全圈
11-07 1706
资源共享(CORS)是一种浏览器机制,允许网页使用来自其他页面或的资产和数据。大多数站点需要使用资源和图像来运行它们的脚本。这些嵌入式资产存在安全风险,因为这些资产可能包含病毒或允许服务器访问外部攻击者。如果目标存在CORS资源共享漏洞,并且在管理员没有退出网站的情况下,点击攻击者已经构造好的恶意网站,攻击者可以修改Origin字段为任意指定的值,实现绕过浏览器同源策略的限制,基于CORS漏洞发起恶意请求,实现对目标资源的恶意访问,并读取服务器的响应结果,从而造成服务器的信息泄露。
第40篇:CORS资源共享漏洞的复现、分析、利用及修复过程
ABC_123的博客
12-25 5327
Part1 前言CORS资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,从而获取受害者的敏感数据,包括转账记录、交易记录、个人身份证号信息、订单信息等等。近几年在很多的渗透测试报告中,CORS资源共享漏洞越来越多了。有的朋友实在挖不出漏洞,偶尔...
浏览器-CORS
MayerF的专栏
11-07 3577
CORS原理分析一、简介 CORS全称为”资源共享”(Cross-origin resource sharing) 它允许浏览器服务器发起XMLHttpRequest 请求,从而解决Ajax只能同源使用的限制。 CORS需要浏览器和服务器同时支持。目前大部分浏览器都支持该功能,但IE浏览器不能低于IE10。 只要浏览器支持CORS,主要重任就落到了服务端,需要服务端根据需求配置CORS响应头
Spring Boot 中如何解决 CORS 问题(详解)
最新发布
2301_76849350的博客
05-07 1192
在前后端分离的开发模式中,前端调用后端接口时,经常会遇到 资源共享CORS) 的问题。Spring Boot 作为常用的后端框架,提供了多种方式来优雅地解决这个问题。本文将全面介绍 Spring Boot 中处理 CORS 的常见方法、原理分析及注意事项,帮助开发者高效排查和解决问题。
资源共享(CORS)问题解决
哆啦AC梦的专栏
06-27 1504
今天在部署项目的时候遇到一个小问题,把项目扔在A服务器的tomcat上的时候,数据库在B服务器上。用客户端访问A服务器web项目的时候,使用ajax从数据库中读出的数据会提示【需要资源共享(CORS)】。 于是乎,总结一下。 CORS:Cross-Origin Resource Sharing(资源共享) CORS被浏览器支持的版本情况如下:Chrome 3+、IE 8+
CORS资源共享漏洞
m0_55772907的博客
10-19 1万+
cors漏洞
CORS资源共享漏洞的复现、分析、利用及修复过程
Innocence_0的博客
02-02 3640
CORS资源共享漏洞与JSONP劫持漏洞类似,都是程序员在解决问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格,诱骗受害者访问攻击者制作好的恶意网站,
「 典型安全漏洞系列 」10.资源共享CORS漏洞详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-06 2565
资源共享(Cross-origin Resource Sharing,CORS)是一种浏览器机制,可以对于给定之外的资源进行受控访问。它扩展并增加了同源政策(Same-origin Policy,SOP)的灵活性。然而,如果网站的CORS策略配置和实施不当,它也可能引发攻击。为了更好的理解CORS漏洞,在介绍CORS漏洞之前,我们先了解下什么是同源策略(SOP)。
CORS 资源共享漏洞
weixin_45653478的博客
03-21 2480
资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据。我们先来简单分析一下 CORS 获取资源的过程:CORS 定义了两种请求:简单请求 和 非简单请求。简单请求就是使用设定的请求方式请求数据,而非简单请求则是在使用设定的请求方式请求数据之前,先发送一个 OPTIONS 预检请求,验证请求源是否为服务端允许源。
资源共享CORS漏洞
热门推荐
LuckySec
08-22 1万+
0x01 漏洞简介 资源共享(CORS)是一种放宽同源策略的机制,它允许浏览器向源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制,以使不同的网站可以获取数据,目前已经被绝大多数浏览器支持,并被主流网站广泛部署使用。资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站读取受害网站的敏感信息。 这里只做简单介绍,关于 CORS 漏洞的详细分析可以点击
Springboot +spring security,解决问题
weixin_40991408的博客
05-26 2528
Springboot +spring security,解决问题
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 8271
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离问题解决(一)
jhack607的专栏
11-28 2582
技术标题:Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离 背景资料查询:网络上99%的文章大多是优快云、博客园、github、gitee、codercto、segmentfault、简书、 cnblogs、360doc、voidcn、https://spring.io/projects/spring-sec...
安全漏洞CORS资源共享
weixin_42925623的博客
11-22 2868
安全漏洞CORS资源共享
Springboot + SpringSecurity基础配置教程
7. **资源共享CORS)** - 如果应用程序需要与源请求交互,配置CORS策略以允许或拒绝请求。 8. **CSRF保护** - 配置站请求伪造(CSRF)保护机制,帮助防止站请求伪造攻击。 9. **会话管理** - 配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值