跨域请求,NG返回403。(403并不一定是NG问题)

置顶 已于 2023-01-31 02:33:05 修改
阅读量1.3k 收藏
点赞数 1
分类专栏: SpringBoot 常见问题 文章标签: java 服务器 spring nginx
于 2023-01-18 14:12:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45112292/article/details/128725938
版权
文章讲述了在集成合作方服务时遇到的403错误问题,经过排查发现并非NG的问题,而是SpringBoot的Zuul跨域配置不完整。在生产环境中,由于CorsConfiguration的allowedOrigins未包含合作方域名,导致请求被拒绝。修复方法是确保在配置中添加正确的请求源域名。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先说问题怎么解决的:

1.ng返回403的情况也就那么几种,百度一下都能找到,但是ng返回403不一定是ng的问题。
2.最终发现是在网关跨域配置中,没有加上请求方的域名。
3.想探索的可以看看文章

背景

和合作方对接,我们这边的app开发完放在合作方的服务器上,再通过NG,请求我这边的后台。NG配置跨域等信息后(这个很容易找,百度随便都能找到),发现测试环境一切正常,但是到了生产,NG一直返回403。请求都没通过,网关zuul没有日志。双方开始排查NG,百度了无数次。最后都配置与测试环境一直,但是生产一直不通。返回403,加上zuul没日志,一直定位在NG跨域的问题上。

解决:

最后发现是zuul项目的问题,SpringBoot跨域问题。尝试排查是否zuul的问题,对比了测试环境和生产的。测试环境zuul的跨域配置CorsConfiguration类属性allowedOrigins赋值了个*,生产是针对地址进行配置的。其实就是SpringBoot的跨域配置,源码CorsConfiguration的allowedOrigins属性没有加上第三方的域名地址。导致直接被拒绝了。加上合作方地址,问题解决。

源码解析

在配置跨域问题时,我们需要对CorsConfiguration属性赋值

//对CorsConfiguration属性赋值
private CorsConfiguration corsConfig(Map.Entry<String, JawsCorsConfig> entry) {
    CorsConfiguration corsConfiguration = new CorsConfiguration();
    corsConfiguration.setAllowedOrigins(Splitter.on(",").splitToList(entry.getValue().getAllowedOrigins()));
    corsConfiguration.setAllowedHeaders(Splitter.on(",").splitToList(entry.getValue().getAllowedHeaders()));
    corsConfiguration.setAllowedMethods(Splitter.on(",").splitToList(entry.getValue().getAllowedMethods()));
    corsConfiguration.setAllowCredentials(entry.getValue().getAllowCredentials());
    corsConfiguration.setMaxAge(entry.getValue().getMaxAge());
    return corsConfiguration;
}

@Bean
    public CorsFilter corsFilter() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    for (Map.Entry<String, JawsCorsConfig> entry : jawsZuulProperites.getCors().entrySet()) {
        source.registerCorsConfiguration(entry.getValue().getUrls(), corsConfig(entry));
    }
    return new CorsFilter(source);
}

源码中 org.springframework.web.cors.DefaultCorsProcessor#handleInternal 方法

protected boolean handleInternal(ServerHttpRequest request, ServerHttpResponse response,
			CorsConfiguration config, boolean preFlightRequest) throws IOException {

		String requestOrigin = request.getHeaders().getOrigin();
		String allowOrigin = checkOrigin(config, requestOrigin);

		HttpMethod requestMethod = getMethodToUse(request, preFlightRequest);
		List<HttpMethod> allowMethods = checkMethods(config, requestMethod);

		List<String> requestHeaders = getHeadersToUse(request, preFlightRequest);
		List<String> allowHeaders = checkHeaders(config, requestHeaders);

		if (allowOrigin == null || allowMethods == null || (preFlightRequest && allowHeaders == null)) {
			rejectRequest(response);
			return false;
		}

		HttpHeaders responseHeaders = response.getHeaders();
		responseHeaders.setAccessControlAllowOrigin(allowOrigin);
		responseHeaders.add(HttpHeaders.VARY, HttpHeaders.ORIGIN);

		if (preFlightRequest) {
			responseHeaders.setAccessControlAllowMethods(allowMethods);
		}

		if (preFlightRequest && !allowHeaders.isEmpty()) {
			responseHeaders.setAccessControlAllowHeaders(allowHeaders);
		}

		if (!CollectionUtils.isEmpty(config.getExposedHeaders())) {
			responseHeaders.setAccessControlExposeHeaders(config.getExposedHeaders());
		}

		if (Boolean.TRUE.equals(config.getAllowCredentials())) {
			responseHeaders.setAccessControlAllowCredentials(true);
		}

		if (preFlightRequest && config.getMaxAge() != null) {
			responseHeaders.setAccessControlMaxAge(config.getMaxAge());
		}

		response.flush();
		return true;
	}

进入checkOrigin(config, requestOrigin);校验请求来源


	public static final String ALL = "*";
	/**
	 * Check the origin of the request against the configured allowed origins.
	 * @param requestOrigin the origin to check
	 * @return the origin to use for the response, or {@code null} which
	 * means the request origin is not allowed
	 */
	public String checkOrigin(String requestOrigin) {
		if (!StringUtils.hasText(requestOrigin)) {
			return null;
		}
		if (ObjectUtils.isEmpty(this.allowedOrigins)) {
			return null;
		}

		if (this.allowedOrigins.contains(ALL)) {
			if (this.allowCredentials != Boolean.TRUE) {
				return ALL;
			}
			else {
				return requestOrigin;
			}
		}
//遍历我们赋值的allowedOrigins,判断请求来源是否包含,包含则返回
		for (String allowedOrigin : this.allowedOrigins) {
			if (requestOrigin.equalsIgnoreCase(allowedOrigin)) {
				return requestOrigin;
			}
		}
return null;
}
CORS解决问题403问题
04-04
Tomcat lib目录下添加cors-filter-1.7.jar,java-property-utils-1.9.jar这两个jar包,项目中web.xml 中添加filter,以及出现OPTIONS 类型的请求返回403的解决方案;压缩文件包含jar文件,以及web.xml配置。
解析AngularJS中get请求URL出现的问题
11-28
在AngularJS中,问题通常发生在尝试从一个源(Origin)向另一个源发送Ajax请求时,这违反了浏览器的同源策略。同源策略是一种安全机制,限制了一个网页只能获取相同协议、名和端口的资源。在给定的例子中,...
访问nginx出现403错误
hzp666的博客
02-26 1万+
其实大多数403错误,都主要是因为 nginx 没有网站资源目录的权限,所以为了安全起见,我们通常都不会将 nginx工作用户改成 root,而是去赋予网站资源目录权限。当我们访问 nginx 网站的时候出现403错误,我们首先想到的是客户端请求没有权限,既然是权限问题,我们就应该照着这条线索排查下去。可是,这样会导致如果我们的80端口被黑客入侵,那么黑客就拥有了 root 权限,这是我们不敢想象的。那么就找到原因了:启动nginx的是root用户,而工作用户是nginx,两个不一致就会导致403错误。
Nginx 报错403 排查与解决
最新发布
lzz的博客
04-19 2821
403 Forbidden 错误解决
nginx403
qqjtxc的博客
06-11 1247
nginx访问的时候报403错误大多数是访问权限的问题nginx启动一般有两个进程   1、主进程  2、工作进程方法一、查看nginx的配置文件nginx.conf,第一行nginx的启动用户,复制一行把nobody改成root  重启nginx方法二、把访问目录改成nobody...
Nginx出现403错误,应该怎么解决
热门推荐
vivlol918的博客
08-13 1万+
Nginx在实际工作中扮演了多重角色,包括Web服务器、反向代理服务器、负载均衡器、静态资源服务器、缓存服务器以及SSL/TLS终结点等。其高性能、可靠性和灵活性使得Nginx成为现代应用架构中不可或缺的组件,帮助提供高效、安全且可扩展的服务。
bug 之 请求Nginx转发报403
zhaluo_dehezi的博客
06-28 1807
今天换了个环境码代码.发现请求403 403 代表服务器禁止访问 所以,请求被拒肯定是权限问题了. 然后突然想起来.自己配置了问题.今天换了个名忘记注册到配置里了 所以..将名添加即可 ...
遇到403问题
dayangcome的博客
11-20 294
今天在向后端发送请求时,发现无论怎么发送请求都会出现403报错,响应是:Invalid CORS request。后来把前端vue的config.js文件中的changeOrigin: true 删去,竟然就不报错了。
解决Vue调用springboot接口403问题
12-11
当Vue作为前端框架与SpringBoot后端交互时,可能会遇到403错误,即请求被浏览器禁止。这是因为浏览器遵循同源策略,限制了不同源之间的HTTP请求。在本篇中,我们将探讨如何解决Vue调用SpringBoot接口时的...
Nginx配置请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的行为。...
nginx解决问题的实例方法
09-29
问题在现代Web开发中是一个常见...在实际项目中,可能还需要考虑其他安全措施,如配置CORS(Cross-Origin Resource Sharing)头,允许特定的请求。不过,Nginx的反向代理方案已经能解决大部分基本的问题
js实现的几种方法汇总(图片ping、JSONP和CORS)
11-22
总结来说,图片ping适合简单的请求,仅限GET请求且无法获取响应数据;JSONP适用于GET请求,能获取并处理响应,但不支持POST和安全性较低;CORS则提供了更全面的支持,包括POST、PUT等各种HTTP方法,且安全性...
前后端分离项目师生管理系统-403问题的解决
m0_48362854的博客
06-15 387
3.1 在webconfig重写方法addCorsMappings。在拦截器配置preHandle中添加拦截处理代码。
配置了仍旧报错403
m0_73493670的博客
11-12 2222
当你发现自己虽然正确的配置了。比如说加了@CrossOrigin注解,但是仍旧前端爆红的时候,也许并不是本身的问题,而是传参类型错误。 这可能是一种误报,但是比如说前端给的数据是Params过来的一个数组,但是它实际上是以一个Map<格式过来的参数,所以你接数据的时候需要用键值对接。否则就会出现403错误,而实际上你的参数永远都没有正确的传入后端接口中,更别提回馈了,这种错误将会在预检时直接爆出,没有状态码,但是你的浏览器Console上面写的是403错误,问题
nginx转发服务,外部请求返回404,403问题
weixin_44609269的博客
10-09 2325
注意:我的系统前端是streamlit实现的,这些文件在当前python环境的streamlit包中找到的。去/etc/nginx路径下,查看nginx.cong文件中user是其他用户,不是root。ps -aux | grep nginx查看nginx的master用户是root。路径问题,找到本地存储这些文件的路径,在nginx配置文件中加入配置就行了。1.检查页面显示404,找不到media、js、css文件。向文件中写入配置、检查配置是否有效:使用指令。启动用户与Nginx工作用户不一致。
前端请求-403
yovven的博客
09-27 6671
1.angular前端请求 this.$http({ method: 'POST', url: Url, data:param, headers: { 'Access-Control-Allow-Origin':'*','Content-Type':'application/json;charset=UTF-8'} })...
前端显示403的错误
weixin_53041144的博客
03-25 8068
前端显示403错误 前端一般出现403的错误主要是由于这两个原因产生的 **问题 路由的路径出现问题 所以主要就是这两个问题和路由路径写错!!
OPTIONS状态代码:403 Forbidden
weixin_58757118的博客
12-06 2126
问题出在我配置的网关,8000。但部署的时候由于改变了启动环境,导致直接访问了其中一个微服务。请求方法:OPTIONS状态代码:403 Forbidden。项目本地运行没问题,分别部署好前后端之后,再运行报错。最后查看资料,OPTIONS请求出现是正常的。
Ng配置规则,支持文件协议应该如何配置
12-14
在Angular(Ng)项目中配置规则以支持file协议(通常用于本地开发和测试,比如通过`file://`访问静态文件),可以使用`@angular/common/http`模块提供的`HttpClient`服务的拦截器功能。由于浏览器的安全限制,直接从file协议加载内容可能会遇到同源策略问题。以下是设置的基本步骤: 1. 首先,在`app.module.ts`中导入`HttpClientModule`和`JsonpModule`(如果使用的是旧版的`http`库,而不是`HttpClient`): ```typescript import { HttpClientModule } from '@angular/common/http'; // 如果使用HttpClient import { JsonpModule } from '@angular/common/http'; @NgModule({ imports: [HttpClientModule, JsonpModule], // 或者只导入HttpClientModule }) export class AppModule {} ``` 2. 创建一个全局拦截器,如`globalInterceptor.service.ts`: ```typescript import { Injectable } from '@angular/core'; import { HttpRequest, HttpHandler, HttpEvent, HttpResponse } from '@angular/common/http'; import { Observable } from 'rxjs'; @Injectable() export class GlobalInterceptorService { intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> { const newRequest = req.clone({ setHeaders: {'X-Custom-Header': 'your-header-value'} }); // 添加自定义头 if (isFileProtocol(req.url)) { // 检查是否是file协议 // 如果是,允许请求 return next.handle(newRequest); } return next.handle(req); // 否则,让默认处理继续 } private isFileProtocol(url: string) { return url.startsWith('file:'); } } ``` 3. 在`app.module.ts`中注入并启用拦截器: ```typescript import { HttpClientModule } from '@angular/common/http'; import { GlobalInterceptorService } from './global-interceptor.service'; @NgModule({ providers: [ GlobalInterceptorService, { provide: HTTP_INTERCEPTORS, useClass: GlobalInterceptorService, multi: true }, // 注册拦截器 ], imports: [HttpClientModule], }) export class AppModule {} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值