Spring - CORS 不适用于安全配置-6ren

Spring - CORS 不适用于安全配置

转载作者：行者123 更新时间：2023-12-05 08:40:45

25

4

我开发了一个带有 spring webflux 后端的角度应用程序。到目前为止，CorsFilter 工作正常并允许来自前端的请求。

然后我添加了一个 SecurityConfig。从那时起，CorsFilter 停止工作，我在角度应用程序中遇到异常:

Access to XMLHttpRequest at 'http://localhost:8080/users/999/folders/%2F/media/' from origin 'http://localhost:4200' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource

这个过滤器工作正常:

@Configuration
public class CorsFilter {

    private static final String FRONTEND_LOCALHOST = "http://localhost:4200";
    private static final String FRONTEND_STAGING = "https://somehost.github.io";

    @Bean
    CorsWebFilter corsWebFilter() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.applyPermitDefaultValues();
        corsConfig.addAllowedMethod(HttpMethod.PUT);
        corsConfig.addAllowedMethod(HttpMethod.DELETE);
        corsConfig.setAllowedOrigins(Arrays.asList(FRONTEND_LOCALHOST, FRONTEND_STAGING));

        UrlBasedCorsConfigurationSource source =
                new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig);

        return new CorsWebFilter(source);
    }
}

然后我使用以下 SecurityConfig 添加了授权(不记名 token ):

@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfiguration {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http.cors().and().csrf()
            .csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
            .and()
            .authorizeExchange()
            .anyExchange().authenticated()
            .and()
            .oauth2ResourceServer()
            .jwt();
        return http.build();
    }

安全配置似乎不再考虑我的 CorsFilter。我指出需要在配置中明确添加 corsfilter，但我发现的示例没有用。我希望有人能提供帮助并知道原因。

编辑:为了解决重复问题:我已经尝试将 cors() 和 cors().configurationSource(corsConfig()) 添加到我的安全配置中，但没有有帮助。

最佳答案

我在 Enable CORS in Spring 5 Webflux? 中找到了一种工作方式通过实现自定义 corsfilter。

但是我仍然对这个解决方案不满意，因为它看起来很像一个解决方法。

我终于找到了罪魁祸首......一个很尴尬。我发布的 SecurityConfig 位于错误的包中(它不小心位于默认包中)，因此配置没有被选中。

当我将代码粘贴到安全配置时，问题中的 cors 过滤器也开始工作。

所以我最终的 SecurityConfig 看起来像这样:

import java.util.Arrays;

import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.method.configuration.EnableReactiveMethodSecurity;
import org.springframework.security.config.annotation.web.reactive.EnableWebFluxSecurity;
import org.springframework.security.config.web.server.ServerHttpSecurity;
import org.springframework.security.web.server.SecurityWebFilterChain;
import org.springframework.security.web.server.csrf.CookieServerCsrfTokenRepository;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.reactive.CorsConfigurationSource;
import org.springframework.web.cors.reactive.UrlBasedCorsConfigurationSource;

@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfiguration {

    private static final String FRONTEND_LOCALHOST = "http://localhost:4200";
    private static final String FRONTEND_STAGING = "https://somehost.github.io";

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http
                .csrf()
                .csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
                .and()
                .authorizeExchange()
                .anyExchange().authenticated()
                .and()
                .oauth2ResourceServer()
                .jwt();
        return http.build();
    }


    @Bean
    CorsConfigurationSource corsConfiguration() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.applyPermitDefaultValues();
        corsConfig.addAllowedMethod(HttpMethod.PUT);
        corsConfig.addAllowedMethod(HttpMethod.DELETE);
        corsConfig.setAllowedOrigins(Arrays.asList(FRONTEND_LOCALHOST, FRONTEND_STAGING));

        UrlBasedCorsConfigurationSource source =
                new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig);
        return source;
    }
}

关于Spring - CORS 不适用于安全配置，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/53943806/

25

4

0

文章推荐： Scala:在父方法中维护子类？

文章推荐： haskell - 'Monad (Writer String)' 的非法实例声明

文章推荐：按钮组的 Angular-material 恒定宽度

cors - 如何检查域是否启用了 CORS
我尝试访问此 API click here for more info POST https://api.line.me/v2/oauth/accessToken 但总是得到错误: XMLHttpRe
cors - CORS 如何保护应用程序？
我在掌握 CORS 概念时遇到问题... 我认为同源策略保护应用程序不会对“不受信任的域”进行 ajax 调用。所以， mydomain.com 向发出 ajax 调用somedomain.com
cors - CORS 预检响应如何实际缓存在浏览器中？
一个技术性很强的问题，可能只有了解浏览器内部结构的人才能回答...... 浏览器缓存 CORS 预检响应的准确程度如何(假设在对 OPTIONS 预检请求的响应中返回了 Access-Control-
cors - CORS 试图解决的问题是什么？
我一直在阅读 CORS以及它是如何工作的，但我发现很多事情令人困惑。例如，有很多关于事情的细节，比如 User Joe is using browser BrowserX to get data fr
cors - OWASP CORS 建议中的矛盾
在 OWASP site 上看到这个矛盾，我感到很困惑。 CORS 备忘单: 使用 Access-Control-Allow-Credentials: true 响应 header 时要特别小心。将允
cors - 修复 cors 飞行前未连接
我们无法在飞行前恢复使用 cors:任何帮助都非常感谢 ==========错误========================== About to connect() to localhost p
cors - 为什么字体文件必须遵守 CORS 规则而图像不需要？
跨域请求字体文件时，您必须确保允许请求域使用 CORS header 访问字体文件: 访问控制允许来源访问控制允许凭据然而，这在请求图像时不是必需的，无论是对于 img元素或 background
cors - 对无效 CORS 请求的预期响应是什么？
CORS 规范没有说明服务器应如何响应无效的 CORS 请求。例如，如果请求 Origin 无效，则 CORS spec states :“终止这组步骤。请求超出了本规范的范围。”其他错误情况也有类似
cors - 同源策略和 CORS - 有什么意义？
我在理解同源策略和“解决”它的不同方法时遇到了一些麻烦。很明显，同源策略是作为一种安全措施而存在的，因此来自服务器/域的一个脚本无法访问来自另一个服务器/域的数据。也很明显，有时能够打破此规则很有
cors - API网关云信息 CORS
我正在尝试使用 cloudformation 在 API Gateway 中部署 API。这些方法需要启用 CORS，我遵循此处的模板 Enable CORS for API Gateway in C
cors - 如何将 CORS 预检缓存应用于整个域
我正在构建一个使用 CORS 的 REST 应用程序。每个 REST 调用都是不同的，我发现获取预检 OPTIONS 调用会产生很大的开销。有没有办法缓存并应用预检选项结果，以便对同一域的任何后续调用
cors - MVC6 Cors - 拦截预检
我正在将我的 WebApi 升级到 MVC6。在 WebApi 中，我可以拦截每个 HTTP 请求，如果是预检，我可以用浏览器可以接受的 header 进行响应。我正在尝试找出如何在 MVC6 W
cors - 如何处理无效的 CORS 预检请求？
假设一个 CORS 预检请求进来了，但它为一个或多个 Access-Control-Request-* 指定了一个不受支持的值。标题。服务器应该如何将其传达回浏览器？一些例子: 浏览器发送带有 Ac
cors - 在 GraphDB 上启用 CORS
问题中的一切。附加信息: 使用 Win 10，GraphDB 免费，9.1.1 • RDF4J 3.0.1 • Connectors 12.0.2 我在控制台 => 设置中添加了 graphdb.w
cors - 如何为 SonarQube 服务启用 CORS
我正在尝试通过 jQuery 调用 Sonar 网络服务之一。由于调用是跨域进行的，因此调用在 Chrome 上失败并出现以下错误: 请求的资源上不存在“Access-Control-Allow-Or
cors - 在 NestJs 中启用 Cors
我想使用 NestJs api，但我在每个 fetch 中都收到相同的错误消息: Access to fetch at 'http://localhost:3000/articles' from or
cors - Svelte API 代理 cors
我不确定这是否属于这里，但我在开发我的 svelte 应用程序时遇到了问题。在开发过程中，它目前在独立服务器上运行(遵循使用 rollup 和 sirv 的指南)并针对不同端口上的后端 API。稍
cors - 正确的 CORS 设置是否会阻止 XSRF？
如果在服务器上正确设置 CORS 以仅允许某些来源访问服务器，这是否足以防止 XSRF 攻击？最佳答案更具体地说，很容易错误地认为如果 evil.com 由于 CORS 无法向 good.com
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？

首页

博学

6Ren·AI

商城

Spring - CORS 不适用于安全配置