问题：

spring-cors不使用安全配置

凌联

2023-03-14

然后我添加了一个SecurityConfig。从那时起，CorsFilter停止工作，我在angular应用程序中得到了一个异常：

CORS策略阻止了从origin“http://localhost:8080/users/999/folders/%2f/media/”从“http://localhost:4200”访问“http://localhost:8080/users/999/folders/%2f/media/”得XMLHttpRequest：对预飞行请求得响应未通过访问控制检查：请求得资源上没有“access-control-allow-origin”标头

此过滤器工作良好：

@Configuration
public class CorsFilter {

    private static final String FRONTEND_LOCALHOST = "http://localhost:4200";
    private static final String FRONTEND_STAGING = "https://somehost.github.io";

    @Bean
    CorsWebFilter corsWebFilter() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.applyPermitDefaultValues();
        corsConfig.addAllowedMethod(HttpMethod.PUT);
        corsConfig.addAllowedMethod(HttpMethod.DELETE);
        corsConfig.setAllowedOrigins(Arrays.asList(FRONTEND_LOCALHOST, FRONTEND_STAGING));

        UrlBasedCorsConfigurationSource source =
                new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig);

        return new CorsWebFilter(source);
    }
}

@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfiguration {

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http.cors().and().csrf()
            .csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
            .and()
            .authorizeExchange()
            .anyExchange().authenticated()
            .and()
            .oauth2ResourceServer()
            .jwt();
        return http.build();
    }

编辑：解决重复问题：我已经尝试将cors()和cors().ConfigurationSource(corsConfig())添加到我的安全配置中，但都没有帮助。

共有1个答案

祖麻雀

2023-03-14

我在Spring5 WebFlux中找到了启用CORS的工作方式？通过实现自定义的corsfilter。

然而，我仍然不满意的解决方案，因为它看起来很像一个变通办法。

我终于找到了罪魁祸首...一个很难堪。我发布的SecurityConfig在错误的包中（由于意外，它在默认包中），因此没有收到配置。

import java.util.Arrays;

import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.method.configuration.EnableReactiveMethodSecurity;
import org.springframework.security.config.annotation.web.reactive.EnableWebFluxSecurity;
import org.springframework.security.config.web.server.ServerHttpSecurity;
import org.springframework.security.web.server.SecurityWebFilterChain;
import org.springframework.security.web.server.csrf.CookieServerCsrfTokenRepository;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.reactive.CorsConfigurationSource;
import org.springframework.web.cors.reactive.UrlBasedCorsConfigurationSource;

@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfiguration {

    private static final String FRONTEND_LOCALHOST = "http://localhost:4200";
    private static final String FRONTEND_STAGING = "https://somehost.github.io";

    @Bean
    public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
        http
                .csrf()
                .csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())
                .and()
                .authorizeExchange()
                .anyExchange().authenticated()
                .and()
                .oauth2ResourceServer()
                .jwt();
        return http.build();
    }


    @Bean
    CorsConfigurationSource corsConfiguration() {
        CorsConfiguration corsConfig = new CorsConfiguration();
        corsConfig.applyPermitDefaultValues();
        corsConfig.addAllowedMethod(HttpMethod.PUT);
        corsConfig.addAllowedMethod(HttpMethod.DELETE);
        corsConfig.setAllowedOrigins(Arrays.asList(FRONTEND_LOCALHOST, FRONTEND_STAGING));

        UrlBasedCorsConfigurationSource source =
                new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfig);
        return source;
    }
}

类似资料：

Spring安全 CSRF CORS

问题陈述：我有一些Rest的API，它们使用Spring安全性进行CSRF保护。此外，这些API将通过Angular WEB UI从不同的Origin/domain访问。我不需要Spring Authentication，因为身份验证由Siteminder处理。方法：我遵循了Dave Syer提供的CSRF保护的链接：登录页面：Angular JS和Spring Security Part II
使用spring启动的安全配置

我为spring-boot创建了一个spring安全配置类。我的登录页面有资源css、js和ico文件。这些资源由于安全原因而被拒绝，并且每次都被重定向到登录页面。为什么EnableWebMVCSecurity不添加类路径资源位置。在更改代码后，如第二个代码片段所示，将添加I Classpath资源位置。不明白第一段代码中的资源缺少什么。我通过将代码更改为在更改代码之后，我注意到忽略路径被添加
启用spring中的CORS安全标签

如何在Spring Security标签（即令牌url）中启用CORS。我使用的是spring security 3.1和spring mvc 4.3.12。我已成功生成令牌以保护API，但无法在令牌url中启用CORS。我使用了以下代码来生成访问令牌 spring-security.xml 这就是我启用CORS但不起作用的方式 dispatcher servlet。xml 这就是我得到的错误登
Spring的CORS问题-安全性

我正在用Spring-boot（在http：//localhost:8080上）和angular（在http：//localhost:80上）构建一个应用程序。如果我输入了正确的密码，http响应代码（我可以在Chrome控制台中看到）是，但我仍然到达块（带有error.status=-1)，并且我可以在控制台中看到以下错误消息： XMLHttpRequest无法加载http://localho
当MultipartException发生时，spring全局cors配置不起作用

MultipartException今天出现在我的web应用程序中。我的web应用程序基于spring Boot。但是我在处理MultiPartException时发现了这个问题。以下是MultipartException信息： multipart.multipartException：无法解析多部分servlet请求；嵌套异常是java.io.ioException：临时上载位置[C:\use
Thymeleaf附加安全不适用于Spring安全

因此，作为一个初学者，我曾尝试使用spring boot 2.2.11、spring security、thymeleaf和json web令牌创建一个ecommmerce网站，我的问题是，当用户对模板进行身份验证时，即使我在模板中放置了thymeleaf的isAnonyms和IsAuthentificated标记，模板也没有更改。我有两个问题： 1-/如何告诉所有控制器用户已经登录？ 2-/如

spring-cors不使用安全配置

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档