Spring Security - 跨域与CORS
一、认识跨域
跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。
-
怎样会造成跨域?
当前页面URL和请求的URL首部(端口之前部分)不同则会造成跨域。通俗点讲就是两个URL地址,端口之前部分,只要有一点不同即发生跨域。
在
http://a.baidu.com下访问https://a.baidu.com资源会形成协议跨域。在
a.baidu.com下访问b.baidu.com资源会形成主机跨域。在
a.baidu.com:80下访问a.baidu.com:8080资源会形成端口跨域。
二、解决跨域的常见方式
1. JSONP
由于浏览器允许一些带有src属性的标签跨域,常见的有iframe、script、img等,所以JSONP利用script标签可以实习跨域。
实现思路
- 前端通过script标签请求,并在callback中指定返回的包装实体名称为jsonp(可以自定义)
<script src="http://aaa.com/getusers?callback=jsonp"></script>
- 后端将返回结果包装成所需数据格式
jsonp({
"error":200,
"message":"请求成功",
"data":[{
"username":"张三",
"age":20
}]
})
总结:JSONP实现起来很简单,但是只支持GET请求跨域,存在较大的局限性
2.CORS
CORS(Cross-Origin Resource Sharing)的规范中有一组新增的HTTP首部字段,允许服务器声明其提供的资源允许哪些站点跨域使用。
注意:CORS不支持IE8以下版本的浏览器。
大多数浏览器中即便是跨域请求,请求依然是会正常发送到服务端,服务端接收并处理,只是返回到浏览器的信息被浏览器拦截屏蔽了。这样会对服务器造成不必要的资源浪费。
在CORS的规范中则避免了这个问题:
浏览器在请求时会先发一个请求方法为OPTIONS的预检请求,用于确认是否允许跨域,只有服务端允许,才会发出实际请求。
预检请求允许服务端通知浏览器跨域携带身份凭证(如cookie)
CORS新增的HTTP首部字段由服务器控制,下面介绍几个常用首部字段:
-
Access-Control-Allow-Origin
- 设置允许哪些站点跨域请求,使用URL首部匹配原则。
- 设置为*表示允许所有网站请求
注意:
- 当需要浏览器请求携带凭证的时候,不允许设置为*
- 设置了具体站点信息,Vary需要携带Origin属性,因为服务器对不同的域会返回不同的内容:
Access-Control-Allow-Origin: http://aaa.com Vary: Accept-Encoding,Origin -
Access-Control-Allow-Methods
- 仅在预检请求的响应中指定有效
- 表明服务器允许请求的HTTP方法
- 多个用逗号隔开
-
Access-Control-Allow-Headers
- 仅在预检请求的响应中指定有效
- 表明服务器允许携带的首部字段
- 多个用逗号隔开
-
Access-Control-Max-Age
- 指明本次预检请求的有效期
- 有效期内无需再次发起请求
-
Access-Control-Allow-Credentials
- 为true时,通知浏览器接下来的正式请求带上用户凭证信息(cookie等),服务器也可以使用Set-Cookie向用户浏览器写入新的cookie。
- 此时Access-Control-Allow-Origin不能设置为*
总结:在使用CORS时,通常有以下两种访问控制场景
-
简单请求
①. 不携带自定义请求头信息的GET请求、HEAD请求
②. Content-Type为application/x-www-form-urlencoded、multipart/form-data或 text/plain的POST请求请求时,会在请求头中自动添加一个Origin属性,值为当前页面URL首部。服务端接收到请求,返回信息。如果返回信息中存在跨域访问控制属性,浏览器会根据这些属性值判断是否被允许,如果允许,则跨域成功。
所以只需要后端在返回的响应头中添加 Access-Control-Allow-Origin 字段并填入允许跨域访问的站点即可。
-
预检请求(非简单请求)
预检请求不同于简单请求,它会发送一个 OPTIONS 请求到目标站点,以查明该请求是否安全,防止请求对目标站点的数据造成破坏。
三、Spring Security启用CORS支持
Spring Security对CORS提供了非常好的支持,只需在配置器中启用CORS支持,并编写一 个CORS配置源即可。
@Override
protected void configure(HttpSecurity http) throws Exception {
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
http.authorizeRequests()
.antMatchers("/admin/api/**").hasRole("ADMIN")
.antMatchers("/user/api/**").hasRole("USER")
.antMatchers("/app/api/**", "/captcha.jpg").permitAll()
.anyRequest()
.authenticated()
.and()
.formLogin()
.loginPage("/myLogin.html")
// 指定处理登录请求的路径,修改请求的路径,默认为/login
.loginProcessingUrl("/mylogin").permitAll()
.csrf().disable()
.cors();
}
@Bean
CorsConfigurationSource corsConfigurationSource(){
CorsConfiguration corsConfiguration = new CorsConfiguration();
//允许从百度站点跨域
corsConfiguration.setAllowedOrigins(Arrays.asList("https://www.baidu.com"));
//允许GET和POST方法
corsConfiguration.setAllowedMethods(Arrays.asList("GET","POST"));
//允许携带凭证
corsConfiguration.setAllowCredentials(true);
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
//对所有URL生效
source.registerCorsConfiguration("/**",corsConfiguration);
return source;
}
注意:
CorsConfigurationSource为这个包下的
import org.springframework.web.cors.CorsConfigurationSource;
