Spring 跨域配置请求详解

网友投稿 332 2023-01-15


Spring 跨域配置请求详解

介绍

跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的 HTTP 请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),域名A的那 Web 应用就会导致浏览器发起一个跨站 HTTP 请求。在当今的 Web 开发中,使用跨站 HTTP 请求加载各类资源(包括css、图片、javascript 脚本以及其它类资源),已经成为了一种普遍且流行的方式。

出于安全考虑,浏览器会限制脚本中发起的跨站请求。比如,使用 XMLHttpRequest 对象发起 HTTP 请求就必须遵守同源策略(same-origin policy)。 具体而言,Web 应用程序能且只能使用 XMLHttpRequest 对象向其加载的源域名发起 HTTP 请求,而不能向任何其它域名发起请求。为了能开发出更强大、更丰富、更安全的Web应用程序,开发人员渴望着在不丢失安全的前提下,Web 应用技术能越来越强大、越来越丰富。比如,可以使用 XMLHttpRequest 发起跨站 HTTP 请求。(这段描述跨域不准确,跨域并非浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。最好的例子是crsf跨站攻击原理,请求是发送到了后端服务器无论是否跨域!注意:有些浏览器不允许从HTTPS的域跨域访问HTTP,比如Chrome和Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。)

普通参数跨域

在response的头文件添加

httpServletResponse.setHeader("Access-Control-Allow-Origin","*");

httpServletResponse.setHeader("Access-Control-Allow-Methods","POST");

httpServletResponse.setHeader("Access-Control-Allow-Headers","Access-Control");

httpServletResponse.setHeader("Allow","POST");

参数

描述

Access-Control-Allow-Origin

*

授权的源控制

Access-Control-Allow-Credentials

true / false

是否允许用户发送和处理cookie

Access-Control-Allow-Methods

[,]*

允许请求的HTTP Method,多个用逗号分隔

Access-Control-Allow-Headers

[,]*

控制哪些header能发送真正的请求,多个用逗号分隔

Access-Control-Max-Age

授权的时间,单位为秒。有效期内,不会重复发送预检请求

带headr请求跨域

这样客户端需要发起OPTIONS请求, 可以说是一个【预请求】,用于探测后续真正需要发起的跨域 POST 请求对于服务器来说是否是安全可接受的,因为跨域提交数据对于服务器来说可能存在很大的安全问题。

因为Springmvc模式是关闭OPTIONS请求的,所以需要开启

application

org.springframework.web.servlet.DispatcherServlet

dispatchOptionsRequest

true

1

开启CORS

SpringMVC从4.2版本开始增加了对CORS的支持。在springMVC 中增加CORS支持非常简单,可以配置全局的规则,也可以使用@CrossOrigin注解进行细粒度的配置。

使用@CrossOrigin注解

先通过源码看看该注解支持的属性

在Controller上使用@CrossOrigin注解

// 指定当前的AccountController中所有的方法可以处理所有域上的请求

@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"}, maxAge = 72000L)

@RestController

@RequestMapping("/account")

public class AccountController {

@RequestMapping("/{id}")

public Account retrieve(@PathVariable Long id) {

// ...

}

@RequestMapping(metEMGcgEFShod = RequestMethod.DELETE, path = "/{id}")

public void remove(@PathVariable Long id) {

// ...

}

}

在方法上使用@CrossOrigin注解

@CrossOrigin(maxAge = 3600L)

@RestController

@RequestMapping("/account")

public class AccountController {

@CrossOrigin(origins = {"http://domain1.com", "http://domain2.com"})

@RequestMapping("/{id}")

public Account retrieve(@PathVariable Long id) {

// ...

}

@RequestMapping(method = RequestMethod.DELETE, path = "/{id}")

public void remove(@PathVariable Long id) {

// ...

}

}

CORS全局配置

除了细粒度基于注解的配置,可以定义全局CORS的配置。这类似于使用过滤器,但可以在Spring MVC中声明,并结合细粒度@CrossOrigin配置。默认情况下所有的域名和GET、HEAD和POST方法都是允许的。

基于XML的配置

allowed-origins="http://domain1.com, http://domain2.com"

allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"

allowed-headers="header1, header2, header3"

exposed-headers="header1, header2"

allow-credentials="false"

max-age="72000" />

allowed-origins="http://domain3.com" />

基于代码的配置

这个方法同样适用于SpringBoot。

@Configuration

public class WebConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/**")

.allowedOrigins("http://domain1.com")

.allowedOrigins("http://domain2.com")

.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");

.allowedHeaders("header1", "header2", "header3")

.exposedHeaders("header1", "header2")

.allowCredentials(false)

.maxAge(72000L);

registry.addMapping("/resources/**")

.allowedOrigins("http://domain3.com");

}

}

基于过滤器的配置

import org.springframework.web.cors.CorsConfiguration;

import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean

public FilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("http://domain1.com");

config.addAllowedOrigin("http://domain2.com");

config.addAllowedHeader("*");

config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");

config.setAllowCredentials(true);

config.setMaxAge(72000L);

// CORS 配置对所有接口都有效

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean = new FilterRegistrationBean<>(new CorsFilter(source));

bean.setOrder(0);

return bean;

}

allowed-origins="http://domain1.com, http://domain2.com"

allowed-methods="GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE"

allowed-headers="header1, header2, header3"

exposed-headers="header1, header2"

allow-credentials="false"

max-age="72000" />

allowed-origins="http://domain3.com" />

基于代码的配置

这个方法同样适用于SpringBoot。

@Configuration

public class WebConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/**")

.allowedOrigins("http://domain1.com")

.allowedOrigins("http://domain2.com")

.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");

.allowedHeaders("header1", "header2", "header3")

.exposedHeaders("header1", "header2")

.allowCredentials(false)

.maxAge(72000L);

registry.addMapping("/resources/**")

.allowedOrigins("http://domain3.com");

}

}

基于过滤器的配置

import org.springframework.web.cors.CorsConfiguration;

import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean

public FilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("http://domain1.com");

config.addAllowedOrigin("http://domain2.com");

config.addAllowedHeader("*");

config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");

config.setAllowCredentials(true);

config.setMaxAge(72000L);

// CORS 配置对所有接口都有效

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean = new FilterRegistrationBean<>(new CorsFilter(source));

bean.setOrder(0);

return bean;

}

allowed-origins="http://domain3.com" />

基于代码的配置

这个方法同样适用于SpringBoot。

@Configuration

public class WebConfig extends WebMvcConfigurerAdapter {

@Override

public void addCorsMappings(CorsRegistry registry) {

registry.addMapping("/api/**")

.allowedOrigins("http://domain1.com")

.allowedOrigins("http://domain2.com")

.allowedMethods("GET", "POST", "PUT", "HEAD", "PATCH", "DELETE", "OPTIONS", "TRACE");

.allowedHeaders("header1", "header2", "header3")

.exposedHeaders("header1", "header2")

.allowCredentials(false)

.maxAge(72000L);

registry.addMapping("/resources/**")

.allowedOrigins("http://domain3.com");

}

}

基于过滤器的配置

import org.springframework.web.cors.CorsConfiguration;

import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Bean

public FilterRegistrationBean corsFilter() {

UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

CorsConfiguration config = new CorsConfiguration();

config.addAllowedOrigin("http://domain1.com");

config.addAllowedOrigin("http://domain2.com");

config.addAllowedHeader("*");

config.addAllowedMethod("GET, POST, PUT, HEAD, PATCH, DELETE, OPTIONS, TRACE");

config.setAllowCredentials(true);

config.setMaxAge(72000L);

// CORS 配置对所有接口都有效

source.registerCorsConfiguration("/**", config);

FilterRegistrationBean bean = new FilterRegistrationBean<>(new CorsFilter(source));

bean.setOrder(0);

return bean;

}


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

标签:api 接口 安全 代码 对象
上一篇:Spring Boot项目中jar包在服务器上启动的正确姿势
下一篇:zookeeper监听器原理的详解
相关文章

 发表评论

暂时没有评论,来抢沙发吧~