Spring Security之跨域和CORS

最新推荐文章于 2025-04-10 14:33:29 发布
最新推荐文章于 2025-04-10 14:33:29 发布
阅读量547 收藏 1
点赞数
分类专栏: springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xkshihaoren/article/details/103396458
版权
本文介绍了跨域的概念及产生原因,并详细讲解了解决跨域的两种方式:JSONP和CORS。针对JSONP,阐述了其原理和实现步骤;对于CORS,解释了它是如何工作的,包括预检请求和相关的HTTP头部设置。最后,提到了在Spring Security中配置CORS支持的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.跨域

跨域,实质上是浏览器的一种保护处理。如果产生了跨域,服务器在返回结果时就会被浏览器拦截(注意:此时请求是可以正常发起的,只是浏览器对其进行了拦截),导致响应的内容不可用

1.1 产生跨域的几种情况

在这里插入图片描述
也就是请求的URL和页面所在的URL的首部不同时就会产生跨域

1.2 解决跨域之JSONP

实现原理:
浏览器允许一些带src属性的标签跨域,也就是在某些标签的src属性上写url地址是不会产生跨域问题

第一步:使用script标签去加载json信息
<script src="http://test/json"></script>

这样就可以获取到信息了

第二步:后台将返回的数据进行包装
jsonp({
	"name":"test",
	"age":"123"
})

而对于JS而言,这个其实就对应一个普通的函数调用:

jsonp(...params)

所以需要定义一个jsonp函数:

var jsonp = function (data){
	console.log(data)
}
第三步:后台与前台约定返回jsonp格式的条件

可以约定一个callback参数来指定是否返回jsonp格式的数据

http://test?callback=jsonp

后台可以根据这个参数来决定返回什么格式的数据

1.3 CORS解决跨域

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。CORS需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE浏览器不能低于IE10。

浏览器在发起真正的请求之前,会发起一个OPTIONS类型的预检请求,用于请求服务器是否允许跨域,在得到许可的情况下才会发起 Real Request

常用的几种CORS请求头

Access-Control-Allow-Origin

取值表示允许的站点,使用URL首部匹配原则

Access-Control-Allow-Origin: http://test

Access-Control-Allow-Origin: *    //匹配所有站点

Access-Control-Allow-Methods

仅仅在预检请求的响应中指定有效,用于表明服务器允许可跨域的方法类型,多个方法用逗号隔开

Access-Control-Allow-Headers

仅仅在预检有效,用于表明服务器允许携带的首部字段,如果请求头里面有其中没有的头类型,则不允许跨域

Access-Control-Max-Age 、

表示此次预检请求的有效期,在有效期内,预检请求不需要再次发起

CORS控制场景

浏览器将请求分为两类,一类是简单请求,一类是非简单请求,满足下列条件的就是简单请求,否则即使非简单请求:

1、请求方式:HEAD、GET、POST
    2、请求头信息:
        Accept
        Accept-Language
        Content-Language
        Last-Event-ID
        Content-Type 对应的值是以下三个中的任意一个
                                application/x-www-form-urlencoded
                                multipart/form-data
                                text/plain
 
注意:同时满足以上两个条件时,则是简单请求,否则为复杂请求

简单请求和复杂请求的区别:

简单请求:一次请求
非简单请求:两次请求,在发送数据之前会先发第一次请求做预检,只有预检通过后在发一次请求作为数据传输。

关于预检请求:

请求方式:OPTIONS
“预检”其实做检查,检查如果通过则允许传输数据,检查不通过则不再发送真正想要发送的消息
如何“预检”
 => 如果复杂请求是PUT等请求,则服务端需要设置允许某请求,否则“预检”不通过
    Access-Control-Request-Method
 => 如果复杂请求设置了请求头,则服务端需要设置允许某请求头,否则“预检”不通过
    Access-Control-Request-Headers

2.基于Spring Security的CORS支持

首先编写一个配置源:

@Bean
public CorsConfigurationSource corsConfigurationSource(){
	CorsConfigurationSource corsConfigurationSource = new CorsConfigurationSource();
	// 设置Access-Control-Allow-Origin
	corsConfigurationSource .setAllowedOrigins(Arrays.asList("http://www.baidu.com"));
	// 设置Access-Control-Allow-Methods
	corsConfigurationSource .setAllowedMethods(Arrays.asList("POST","GET"));
	// 允许带凭证
	corsConfigurationSource.setAllowCredentials(true);
	// 对所有的url生效
	UrlBasedCorsConfiguratioSource source = new UrlBasedCorsConfiguratioSource ();
	source.registerCorsConfiguration("/**",corsConfigurationSource );
	return source
}

开启CORS:

http....
	// 开启CORS
	.cors()
	.and()
	......
Spring Security CORS
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 180
是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问。
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2624
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
SpringSecurity - CORS测试
风吹草动的博客
02-22 2293
SpringSecurity5 默认有效 CORS. 实装时需要指定允许的站点 CORS设置-有效 服务器端 只需添加依赖,默认有效。 添加SpringSecurity5 依赖compile("org.springframework.boot:spring-boot-starter-security") 客户端 新建Boot工程,指定另外的端口 测试src,参照;Ajax测试CORS/ L...
关于Spring SecurityCORS
寻码启示
06-11 1979
请求,同源安全策略,报错No 'Access-Control-Allow-Origin' header is present on the requested resource,解决方法,处理方法。
spring security处理
最新发布
LCY133的博客
04-10 912
Spring Security 中处理问题(CORS)需要明确配置允许的请求规则,并确保 Spring Security 的过滤器链不会拦截合法的请求。正确配置后,前端应用可安全地与后端 API 通信,同时保持系统的整体安全性。:需同时启用 Spring SecurityCORS 支持(:OPTIONS 请求被 Spring Security 拦截。:Spring Security 过滤器链未正确处理 CORS。:禁用 CSRF 会降低安全性,需确保其他防护措施到位。
Spring Securitycors()函数作用(chatgpt答案)
weixin_41088381的博客
03-22 504
spring Security cors函数作用
Spring SecurityCORS与CSRF(三)
致力于不留技术债务cuizb.top
03-31 1963
文章目录JSONPCORSSpring Security启用CORSCSRFCSRF的攻击过程CSRF的防御手段使用Spring Security防御CSRF攻击 在之前的文章[Spring Boot或Spring MVC前后端分离的项目问题的解决方案]已经介绍过以及的解决方案。 在学习Spring Security的时候发现,Security框架也通过HttpSecurity进行链式配置解决问题,是通过CORS进行解决的,随意还是会重点讲解相关CORS。 JSONP JSONP.
SpringSecurity学习(六)CORS、异常处理
Huathy的博客
03-12 3890
CORS是W3C的一种资源共享技术标准,目的是为了解决前端请求(浏览器同源策略会对请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
SpringSecurity
m0_74825526的博客
02-15 883
CORS(Cross-Origin Resource Sharing)是由W3C制定的一种资源共享技术标准,其目的就是为了解决前端的请求。在JavaEE开发中,最常见的前端请求解决方案是早起的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的解决方案。CORS中新增了一组HTTP请求头字段,通过这些字段,服务器高炉浏览器,哪些网站通过浏览器有权限访问哪些资源。
Spring Security系列】CORS
qq_28248897的博客
07-16 1042
是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问。 1.认识 很多人误认为资源时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏 览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可 以论证这一点的著名案例就是CSRF站攻击。 此外,我们平常所说的实际上都是在讨论浏览器行为,包括各种WebView容器等(其中,以 XmlHttpRequest 的使用为主)。由于JavaScript 运行在浏览器之上,所以 Ajax的成为
springsecurity
qq_3316359388的博客
05-31 1136
从协议部分开始到端口部分结束,只要与请求URL不同即被认为名与名对应的IP也不能幸免。 浏览器解决问题的方法有多种,包括JSONP、Nginx转发CORS等。其中,JSONPCORS需要后端参与。 CORS(Cross-Origin Resource Sharing) 通常情况下,请求即便在不被支持的情况下,服务器也会接 收并进行处理,在CORS的规范中则避免了这个问题。 浏览器首先会发起一个请求方法为OPTIONS 的预检请求,用于确认服务器是否允许,只有在得到许可后才会发出实际
Spring Security - 资源共享(CORS
Flying_Fish_roe的博客
09-27 1155
CORS(Cross-Origin Resource Sharing,资源共享)是一种 W3C 标准,用于解决浏览器中的请求问题。通常情况下,浏览器安全策略限制了 Web 应用只能从同一个名(origin)请求资源,而不能访问不同名、端口或协议的资源。这是出于安全考虑,防止恶意网站未经授权读取用户数据。然而,在实际的 Web 开发中,前端与后端分离架构越来越普遍,前端应用后端 API 通常部署在不同的名或端口上,这种场景下,请求变得不可避免。
Spring Security(十三)CORS
core815的专栏
10-15 737
.简介 是一种浏览器同源安全策略,即浏览器单方面限制脚本的访问。 认识 很多人认为资源时无法请求,实际上,通常情况下请求是可以正常发起的(注意,部分浏览器存在特例),后端也正常进行了处理,只是在返回时被浏览器拦截,导致响应内容不可使用。可以论证这一点的著名案例就是CSRF站攻击。 此外,我们平常所说的实际上就是讨论浏览器行为,包括各种WebView容器等(其中,以XmlHt...
09 SpringSecurity-CORS
02-17 5222
一、认识 很多人误认为资源时无法请求,通常情况下时可以正常发起的(部分浏览器存在特例),后端也进行了正常处理,只是在返回时被浏览器拦截,导致响应内容无法使用。可以论证这一点的著名案例就是CSRF站攻击。 CSRF站攻击 CSRF(Cross Site Request Forgery) 站请求伪造。也被称为One Click AttackSession Riding,通常缩写为CSRF或XSRF。通常来说就是攻击者盗用你的身份,以你的名义发送恶意请求。 注意这是真实的攻击手段: 举
Spring Security 中的 CSRFCORS
qq_29860591的博客
08-14 1273
Spring Security 中的 CSRFCORS 使用 Spring Security 提供 CSRF 保护 什么是 CSRF? 从安全的角度来讲,你可以将 CSRF 理解为一种攻击手段,即攻击者盗用了你的身份,然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CSRF: 具体流程如下: 用户浏览并登录信任的网站 A,通过用户认证后,会在浏览器中生成针对 ...
Spring Security (CORS)资源访问配置
weixin_34248487的博客
01-29 594
1、CORS介绍 CORS是一个W3C标准,全称是"资源共享"(Cross-origin resource sharing)。它允许浏览器向源(协议 + 名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的AJAX通信...
Spring Security in Action 第十章 SpringSecurity应用CSRF保护CORS请求
Learning_xzj的博客
01-28 670
我们已经了解了过滤器链以及它在Spring Security架构中的作用。我们在第9章中研究了几个例子,在这些例子中我们定制了过滤器链。但Spring Security也会在链上添加自己的过滤器。在本章中,我们将讨论应用CSRF保护的过滤器CORS配置相关的过滤器。你将学习如何定制这些过滤器,使之完美地适合你的应用场景。你可能已经注意到,到目前为止的大多数例子中,我们只用HTTP GET实现了我们的api。此外,当我们需要配置HTTP POST时,我们还必须在配置中添加一个补充指令来禁用CSRF保护。之
Spring全家桶-Spring SecurityCORS与防护
HQ DevJ的专栏
05-29 1432
Spring全家桶-Spring SecurityCORS Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring SecurityCORS前言一、
SpringSecurity学习笔记(十一)CSRF攻击以及CORS
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-09 1456
什么是CSRFCSRF:站请求伪造。也可称为一站式攻击。也可写作XSRF。按照字面意思来理解,站请求伪造,意思就是说用户登录了A网站之后,会话没有过期,然后登录了B网站,这个时候B网站中的请求访问了A网站,这个时候A网站就会认为是合法的用户的请求,这个时候用户是无感知的,从而导致用户在A网站的账户出现安全问题。特别是在一些银行之类的网站上如果受到这种攻击,造成的损失是致命的。CSRF防御。
springsecurity解决cors
05-05
Spring Security 中,可以使用 `CorsConfigurationSource` 接口来配置 CORS 请求。下面是一个简单的示例: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // ... .cors().and() // ... } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("GET","POST", "OPTIONS", "DELETE", "PUT")); configuration.setAllowedHeaders(Arrays.asList("Authorization", "Content-Type")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } } ``` 上面的示例中,我们通过 `cors()` 方法来启用 CORS,然后通过 `corsConfigurationSource()` 方法来配置 CORS。在配置中,我们设置 `allowedOrigins`、`allowedMethods`、`allowedHeaders` 分别表示允许请求的来源、方法头部信息。 需要注意的是,在上面的示例中,我们设置了 `allowedOrigins` 为 `"*"`,表示允许来自任意来源的请求。在实际应用中,为了安全起见,应该根据实际情况设置允许的来源,避免恶意攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值