[Springboot] Cros 跨域过滤

最新推荐文章于 2025-03-10 23:49:12 发布
最新推荐文章于 2025-03-10 23:49:12 发布
阅读量88 收藏
点赞数 1
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yangchuang11/article/details/134247687
版权 
package com.gw.boot.config;

import org.apache.commons.net.util.SubnetUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.http.HttpStatus;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.web.cors.reactive.CorsUtils;
import org.springframework.web.filter.reactive.HiddenHttpMethodFilter;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.server.WebFilter;
import org.springframework.web.server.WebFilterChain;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;

import java.net.InetAddress;
import java.net.URI;
import java.net.UnknownHostException;
import java.nio.charset.StandardCharsets;
import java.util.LinkedList;


@Configuration
public class CrosConfig {
    private static final String MAX_AGE = "18000L";
    private static Logger logger = LoggerFactory.getLogger(CrosConfig.class);
    private AllowCorsUrlProperties allowCorsUrlProperties;

    public CrosConfig(AllowCorsUrlProperties allowCorsUrlProperties) {
        this.allowCorsUrlProperties = allowCorsUrlProperties;
    }

    public static boolean isIPInRange(String ipAddress, String cidrNotation) {
        try {
            InetAddress ip = InetAddress.getByName(ipAddress);

            SubnetUtils subnetUtils = new SubnetUtils(cidrNotation);
            subnetUtils.setInclusiveHostCount(true);

            return subnetUtils.getInfo().isInRange(ip.getHostAddress());
        } catch (UnknownHostException e) {
            // 处理异常情况
            e.printStackTrace();
        }

        return false;
    }

    @Bean
    public WebFilter corsFilter() {
        return (ServerWebExchange ctx, WebFilterChain chain) -> {
            ServerHttpRequest req = ctx.getRequest();
            // 原始的
            String origin = req.getHeaders().getOrigin();
            logger.info("corsFilter origin:[{}]", origin);
            URI uri = req.getURI();
            // 真实的
            String actual = uri.toString();
            logger.info("corsFilter actual:[{}]", actual);
            // 判断协议、ip、端口,如果都相同,直接透传,不相同增加响应头参数。
            if (CorsUtils.isCorsRequest(req)) {
                // 默认全部不允许
                if (checkAllowCorsRequest(origin)) {
                    logger.error("请求的Origin值[{}]不在允许范围内", origin);
                    return unauthorized(ctx, "请求的origin值不在允许范围内");
                }

                HttpHeaders reqHeaders = req.getHeaders();
                ServerHttpResponse resp = ctx.getResponse();
                // HttpMethod reqMethod = reqHeaders.getAccessControlRequestMethod();
                HttpHeaders headers = resp.getHeaders();
                headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_ORIGIN, reqHeaders.getOrigin());
                headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_HEADERS,
                        "Origin, No-Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, "
                                + "Cache-Control, Expires, Content-Type, X-E4M-With,userId,token");
                headers.add(HttpHeaders.ACCESS_CONTROL_ALLOW_CREDENTIALS, "true");
                headers.add(HttpHeaders.ACCESS_CONTROL_EXPOSE_HEADERS, "*");
                headers.add(HttpHeaders.ACCESS_CONTROL_MAX_AGE, MAX_AGE);
                if (req.getMethod() == HttpMethod.OPTIONS) {
                    resp.setStatusCode(HttpStatus.OK);
                    return Mono.empty();
                }
            }
            return chain.filter(ctx);
        };
    }

    @Bean
    public HiddenHttpMethodFilter hiddenHttpMethodFilter() {
        return new HiddenHttpMethodFilter() {
            @Override
            public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) {
                return chain.filter(exchange);
            }
        };
    }

    private boolean checkAllowCorsRequest(String origin) {
        logger.info("request origin :{}", origin);
        // 默认全部不允许
        boolean flag = true;
        if (null == origin) {
            return false;
        }
        try {
            // origin截取IP
            String ipAddress = origin.substring(origin.indexOf("//") + 2, origin.lastIndexOf(":"));
            LinkedList<String> urls = allowCorsUrlProperties.getUrls();
            if (null != allowCorsUrlProperties && null != urls) {
                for (String allowOriginUrl : urls) {
                    logger.info("allowOriginUrl :{}", allowOriginUrl);
//                boolean isInRange = isIPInRange(ipAddress, cidrNotation);
                    if (isIPInRange(ipAddress, allowOriginUrl)) {
                        flag = false;
                        break;
                    }
                }
            }
        } catch (Exception e) {
            logger.error("checkAllowCorsRequest error", e);
        }
        return flag;
    }

    private Mono<Void> unauthorized(ServerWebExchange exchange, String message) {
        exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED);
        exchange.getResponse().getHeaders().add("Content-Type", "application/json;charset=UTF-8");
        DataBuffer buffer = exchange.getResponse()
                .bufferFactory().wrap(null == message ? HttpStatus.UNAUTHORIZED.getReasonPhrase().getBytes() : message.getBytes(StandardCharsets.UTF_8));
        return exchange.getResponse().writeWith(Flux.just(buffer));
    }

}
面壁者-扬
关注
SpringBoot笔记20】SpringBoot问题之CORS的四种解决方案
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
11-01 2356
问题,是指:浏览器发起了一个不在当前名下的其他资源,从而使得浏览器端发生报错的情况。// 端口不同// 协议不同// IP地址不同// 只有相同协议、名、端口下的才能够访问问题是发生在浏览器端的,浏览器能够正常访问到后端的接口,并且有返回,但是浏览器端,发现了,于是就抛出来一个异常,从而导致浏览器无法解析接口返回的响应数据,报错如下所示:上面案例是前端【】这个,通过ajax访问【】的时候,浏览器抛出的异常信息。
SpringBoot解决问题(CORS)
weixin_45261485的博客
05-29 593
/** * 配置类 */ @Configuration public class CorsConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("*")//*表示允许任何名使用 .
Spring Boot 配置CROS Filter
zhouzhiwengang的专栏
11-01 5964
一、什么是CORS? CORS是一个W3C标准,全称是”资源共享”(Cross-origin resource sharing),允许浏览器向源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 它通过服务器增加一个特殊的Header[Access-Control-Allow-Origin]来告诉客户端的限制,如果浏览器支持CORS、并且判断Origin通过的话,就会允许XMLHttpRequest发起请求。 CORS Header Acce..
SpringBoot Cors配置+原理分析(corsfilter)
z69183787的专栏
06-24 4324
(951条消息) 的那些事 - CorsWebFilter 源码分析(二)_Lewis·fk的博客-优快云博客_corswebfilterhttps://blog.youkuaiyun.com/fk1778770286/article/details/115734587一文弄懂 CORS (前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot设置(CORS)_骑个小蜗牛的博客
SpringBoot中使用Filter(过滤器)
最新发布
m0_67393342的博客
03-10 198
过滤器(Filter)是Java Web应用中一种用于处理请求(request)和响应(response)的组件过滤器(预处理)过滤器(后处理)拦截器(前处理)控制器方法(Controller)拦截器(后处理)过滤器(后处理)
spring boot实现过滤器Filter
m0_57541942的博客
07-02 360
访问时判断是否带token,如果不带token会被拦截,跳转到helloservlet 类 logout类 2 . 1 注解实现 2 . 1 .1 创建拦截类 2. 1 . 2 执行结果 2. 1 . 2 . 1 不带token 启动 浏览器访问 不带token被拦截到了,并且跳转到了 logou 下图是控制台输出 2. 1 . 2 . 2 带token 启动 浏览器访问 这里token 随意输入一串字符串即可 2 . 2 注解实现 2 . 2 .1 创建拦截类 和2.1.1中的拦
CorsFilter解决问题 springboot
qq_37401609的博客
09-11 421
【代码】CorsFilter解决问题 springboot
springSpringboot设置访问 & Spring Security设置访问
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-16 677
通过实现 WebMvcConfigurer 接口并重写 addCorsMappings 方法来全局配置 CORS。这种方法会应用于所有的控制器。如果你只想对特定的控制器或方法启用 CORS,你可以在该控制器或方法上使用 @CrossOrigin 注解。在 configure(HttpSecurity http) 方法中进行这个配置。1、添加SpringSecurity的依赖配置。2、配置 Spring Security。
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2690
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
springboot+Vue项目使用axios实现(CROS)
u011930054的博客
10-20 5860
springboot+Vue项目使用axios实现(CROS 一、项目背景二、资源共享 CORS 详解三、axios实现四、springboot中实现几种方式 一、项目背景 本文中主要使用springboot项目做后端,Vue做前端,前后端使用axios实现数据交互,前后端分别部署情况: 项目 部署springboot后台项目 http://localhost:8081 vue前端项目 http://localhost:8080 由于前后端部署在两个不同端口下
重学SpringBoot3-Reactive-Streams规范
CoderJia的学习之路
10-22 1655
Reactive-Streams 是由多家技术公司(包括 Lightbend、Netflix、Pivotal 等)联合发布的一套处理异步流式数据的标准。其核心目标是定义一个兼容的、非阻塞的背压(Backpressure)处理模型,帮助开发者处理高速数据流中可能产生的压迫问题。异步数据流的处理:以非阻塞方式处理数据,保证资源高效使用。背压处理:当消费者的处理速度低于生产者时,合理管理数据流的流量,避免系统崩溃。框架兼容性:在不同响应式框架(如 Reactor、RxJava 等)之间实现互操作。
SpringMvc框架使用过滤器(Filter)实现
MoncyXu的博客
12-17 2331
@WebFilter(filterName = "CrosFilter",urlPatterns = {"/*"}) public class CrosFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } ...
SpringBoot CORS 后台服务加一个过滤器 CorsFilter 解决资源访问问题 方便本地环境前后端联调
wuyujin1997的博客
09-26 1971
最简单,也最管用的方式就是:让后端开发去修改服务端代码的逻辑(请求访问规则),重启应用。哪怕只是本地联调临时的呢。而如果后端使用的是 SpringBoot 框架,如何快速修改多个web接口的响应头规则呢?就是限定一下请求方法的范围:哪些请求方法过来,我后端对你提供服务/让你访问?不考虑服务端使用的语言/框架等,要做的事其实是修改以下几个 HTTP响应头 的值。就是看origin头的值是否在允许的origin范围内。在本地做前后端联调的时候,几乎避不开的问题:资源访问 CORS。
Spring Boot 过滤
Pastxu的小屋
04-24 1201
什么是过滤器? Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如JSP,Servlet,静态图片文件或静态HTML文件进行拦截,从而实现一些特殊功能。例如实现URL级别的权限控制、过滤敏感词汇、压缩响应信息等一些高级功能。 Filter的执行原理 当客户端发出Web资源的请求时,Web服务器根据应用程序配置文件设置的过滤规则进行检查,若客户请求满足过滤规则,则对客户请求/响应进行拦截,对请求头和请求数据进行检
SpringBoot配置CorsFilter
Yunje_Wu的博客
04-26 4419
在使用SpringBoot+SpringSecurity配置用户登录时,需要配置CorsFilter,如下: 然后在项目启动的时候报一下错误: 10:24:01.010 [restartedMain] WARN o.s.b.w.s.c.AnnotationConfigServletWebServerApplicationContext - [refresh,591] - Exception encountered during context initialization - cancellin
启动Springboot项目,卡在: Mapping filter: 'corsFilter' to: [/*]
intelrain的博客
06-01 2533
已经出现多次。。每次出现都是一脸懵逼。。。请记住,是因为Mapper里面有断点。。。。
SpringBoot配置CORS解决访问的几种实现方式
m0_37587318的博客
10-12 1584
一、同源策略简介 同源策略[same origin policy]:是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。 同源策略是浏览器安全的基石。 源[origin]就是协议、名和端口号。例如:http://www.baidu.com:80这个URL。 同源:若地址里面的协议、名和端口号均相同则属于同源。 那些操作不受同源策略影响: 页面中的链接,...
SpringBoot超赞的配置类——CorsConfig
ZBYTSL的博客
01-10 4678
import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web....
Springboot处理CORS请求的五种方法并且设置过滤器的执行顺序
陌意随影的博客
06-15 5699
Springboot处理CORS请求的三种方法 一.前言 Springboot问题,是当前主流web开发人员都绕不开的难题。但我们首先要明确以下几点 只存在于浏览器端,不存在于安卓/ios/Node.js/python/ java等其它环境 请求能发出去,服务端能收到请求并正常返回结果,只是结果被浏览器拦截了。 之所以会,是因为受到了同源策略的限制,同源策略要求源相同才能正常进行通信,即协议、名、端口号都完全一致。 浏览器出于安全的考虑,使用 XMLHttpRequest对象发起
springbootCros解决问题
12-31
### 解决Spring Boot项目中的问题 为了有效解决Spring Boot项目的请求问题,可以采用多种方式来配置CORS(Cross-Origin Resource Sharing)。以下是几种常见的解决方案。 #### 方法一:全局配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值