Spring Security 跨域与CORS

发表于

「这是我参与11月更文挑战的第9天,活动详情查看:2021最后一次更文挑战」。

前言

一、认识跨域

跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。

怎样会造成跨域?

当前页面URL和请求的URL首部不同则会造成跨域。通俗点讲就是两个URL地址,端口之前部分,只要有一点不同即发生跨域。

  • http://a.baidu.com下访问https://a.baidu.com资源会形成协议跨域
  • a.baidu.com下访问b.baidu.com资源会形成主机跨域
  • a.baidu.com:80下访问a.baidu.com:8080资源会形成端口跨域

二、解决跨域的常见方式

1. JSONP

由于浏览器允许一些带有src属性的标签跨域,常见的有iframescriptimg等,所以JSONP利用script标签可以实习跨域。

实现思路

  • 前端通过script标签请求,并在callback中指定返回的包装实体名称为jsonp(可以自定义)
1
javascript复制代码<script src="http://aaa.com/getusers?callback=jsonp"></script>
  • 后端将返回结果包装成所需数据格式
1
2
3
4
5
6
7
8
json复制代码jsonp({
    "error":200,
    "message":"请求成功",
    "data":[{
        "username":"张三",
        "age":20
    }]
})

总结:JSONP实现起来很简单,但是只支持GET请求跨域,存在较大的局限性

2.CORS

CORS(Cross-Origin Resource Sharing) 的规范中有一组新增的HTTP首部字段,允许服务器声明其提供的资源允许哪些站点跨域使用。

注意:CORS不支持IE8以下版本的浏览器。

大多数浏览器中即便是跨域请求,请求依然是会正常发送到服务端,服务端接收并处理,只是返回到浏览器的信息被浏览器拦截屏蔽了。这样会对服务器造成不必要的资源浪费。

CORS的规范中则避免了这个问题:

  • 浏览器在请求时会先发一个请求方法为OPTIONS的预检请求,用于确认是否允许跨域,只有服务端允许,才会发出实际请求。
  • 预检请求允许服务端通知浏览器跨域携带身份凭证(如cookie

常见首部字段

CORS新增的HTTP首部字段由服务器控制,下面介绍几个常用首部字段:

  • Access-Control-Allow-Origin
    • 设置允许哪些站点跨域请求,使用URL首部匹配原则。
    • 设置为 * 表示允许所有网站请求
    注意:
    • 当需要浏览器请求携带凭证的时候,不允许设置为*****
      • 设置了具体站点信息,Vary需要携带Origin属性,因为服务器对不同的域会返回不同的内容:
1
2
java复制代码Access-Control-Allow-Origin: http://aaa.com
Vary: Accept-Encoding,Origin
  • Access-Control-Allow-Methods
    • 仅在预检请求的响应中指定有效
    • 表明服务器允许请求的HTTP方法
    • 多个用逗号隔开
  • Access-Control-Allow-Headers
    • 仅在预检请求的响应中指定有效
    • 表明服务器允许携带的首部字段
    • 多个用逗号隔开
  • Access-Control-Max-Age
    • 指明本次预检请求的有效期
    • 有效期内无需再次发起请求
  • Access-Control-Allow-Credentials
    • true时,通知浏览器接下来的正式请求带上用户凭证信息(cookie等),服务器也可以使用Set-Cookie向用户浏览器写入新的cookie
    • 此时Access-Control-Allow-Origin不能设置为 *

总结:在使用CORS时,通常有以下两种访问控制场景

简单请求

  • 不携带自定义请求头信息的GET请求、HEAD请求
  • Content-Typeapplication/x-www-form-urlencodedmultipart/form-datatext/plainPOST请求

请求时,会在请求头中自动添加一个Origin属性,值为当前页面URL首部。服务端接收到请求,返回信息。如果返回信息中存在跨域访问控制属性,浏览器会根据这些属性值判断是否被允许,如果允许,则跨域成功。 所以只需要后端在返回的响应头中添加 Access-Control-Allow-Origin 字段并填入允许跨域访问的站点即可。

预检请求(非简单请求)

预检请求不同于简单请求,它会发送一个 OPTIONS 请求到目标站点,以查明该请求是否安全,防止请求对目标站点的数据造成破坏。

三、Spring Security启用CORS支持

Spring Security对CORS提供了非常好的支持,只需在配置器中启用CORS支持,并编写一 个CORS配置源即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
java复制代码@Override
protected void configure(HttpSecurity http) throws Exception {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    http.authorizeRequests()
        .antMatchers("/admin/api/**").hasRole("ADMIN")
        .antMatchers("/user/api/**").hasRole("USER")
        .antMatchers("/app/api/**", "/captcha.jpg").permitAll()
        .anyRequest()
        .authenticated()
        .and()
        .formLogin()
        .loginPage("/myLogin.html")
        // 指定处理登录请求的路径,修改请求的路径,默认为/login
        .loginProcessingUrl("/mylogin").permitAll()
        .csrf().disable()
        .cors();
}

@Bean
CorsConfigurationSource corsConfigurationSource(){
    CorsConfiguration corsConfiguration = new CorsConfiguration();
    //允许从百度站点跨域
    corsConfiguration.setAllowedOrigins(Arrays.asList("https://www.baidu.com"));
    //允许GET和POST方法
    corsConfiguration.setAllowedMethods(Arrays.asList("GET","POST"));
    //允许携带凭证
    corsConfiguration.setAllowCredentials(true);
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    //对所有URL生效
    source.registerCorsConfiguration("/**",corsConfiguration);
    return source;
}

注意:
CorsConfigurationSource为这个包下的
import org.springframework.web.cors.CorsConfigurationSource;

本文转载自: 掘金

开发者博客 – 和开发相关的 这里全都有

0%