Spring-BootとAngularjsを使用したCORSが機能しない

87

あるアプリケーション(spring-bootアプリケーション)のRESTエンドポイントを別のアプリケーション(angularjs)から呼び出そうとしています。アプリケーションは、次のホストとポートで実行されています。

  • スプリングブートを使用したRESTアプリケーション、 http://localhost:8080
  • Angularjsを使用したHTMLアプリケーション、 http://localhost:50029

spring-securityスプリングブートアプリケーションでも使用しています。HTMLアプリケーションからRESTアプリケーションへの認証はできますが、それ以降もRESTエンドポイントにアクセスできません。たとえば、次のように定義されたangularjsサービスがあります。

adminServices.factory('AdminService', ['$resource', '$http', 'conf', function($resource, $http, conf) {
    var s = {};
    s.isAdminLoggedIn = function(data) {
        return $http({
            method: 'GET',
            url: 'http://localhost:8080/api/admin/isloggedin',
            withCredentials: true,
            headers: {
                'X-Requested-With': 'XMLHttpRequest'
            }
        });
    };
    s.login = function(username, password) {
        var u = 'username=' + encodeURI(username);
        var p = 'password=' + encodeURI(password);
        var r = 'remember_me=1';
        var data = u + '&' + p + '&' + r;

        return $http({
            method: 'POST',
            url: 'http://localhost:8080/login',
            data: data,
            headers: {'Content-Type': 'application/x-www-form-urlencoded'}
        });
    };
    return s;
}]);

anglejsコントローラーは次のようになります。

adminControllers.controller('LoginController', ['$scope', '$http', 'AdminService', function($scope, $http, AdminService) {
    $scope.username = '';
    $scope.password = '';

    $scope.signIn = function() {
        AdminService.login($scope.username, $scope.password)
            .success(function(d,s) {
                if(d['success']) {
                    console.log('ok authenticated, call another REST endpoint');
                    AdminService.isAdminLoggedIn()
                        .success(function(d,s) {
                            console.log('i can access a protected REST endpoint after logging in');
                        })
                        .error(function(d, s) { 
                            console.log('huh, error checking to see if admin is logged in');
                            $scope.reset();
                        });
                } else {
                    console.log('bad credentials?');
                }
            })
            .error(function(d, s) {
                console.log('huh, error happened!');
            });
    };
}]);

への呼び出しでhttp://localhost:8080/api/admin/isloggedin、私はを取得し401 Unauthorizedます。

RESTアプリケーション側には、次のようなCORSフィルターがあります。

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CORSFilter implements Filter {

    @Override
    public void destroy() { }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;

        response.setHeader("Access-Control-Allow-Origin", "http://localhost:50029");
        response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "X-Requested-With, X-Auth-Token");
        response.setHeader("Access-Control-Allow-Credentials", "true");

        if(!"OPTIONS".equalsIgnoreCase(request.getMethod())) {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig config) throws ServletException { }
}

私の春のセキュリティ構成は次のようになります。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Autowired
    private JsonAuthSuccessHandler jsonAuthSuccessHandler;

    @Autowired
    private JsonAuthFailureHandler jsonAuthFailureHandler;

    @Autowired
    private JsonLogoutSuccessHandler jsonLogoutSuccessHandler;

    @Autowired
    private AuthenticationProvider authenticationProvider;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private PersistentTokenRepository persistentTokenRepository;

    @Value("${rememberme.key}")
    private String rememberMeKey;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .exceptionHandling()
            .authenticationEntryPoint(restAuthenticationEntryPoint)
                .and()
            .authorizeRequests()
                .antMatchers("/api/admin/**").hasRole("ADMIN")
                .antMatchers("/", "/admin", "/css/**", "/js/**", "/fonts/**", "/api/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .successHandler(jsonAuthSuccessHandler)
                .failureHandler(jsonAuthFailureHandler)
                .permitAll()
                .and()
            .logout()
                .deleteCookies("remember-me", "JSESSIONID")
                .logoutSuccessHandler(jsonLogoutSuccessHandler)
                .permitAll()
                .and()
            .rememberMe()
                .userDetailsService(userDetailsService)
                .tokenRepository(persistentTokenRepository)
                .rememberMeCookieName("REMEMBER_ME")
                .rememberMeParameter("remember_me")
                .tokenValiditySeconds(1209600)
                .useSecureCookie(false)
                .key(rememberMeKey);
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .authenticationProvider(authenticationProvider);
    }
}

ハンドラーが実行しているのは{success: true}、ユーザーがログインしたか、認証に失敗したか、ログアウトしたかに基づいて、JSON応答を書き出すことだけです。RestAuthenticationEntryPoint次のようになります。

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException ex)
            throws IOException, ServletException {
        resp.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }

}

私が見逃していることや間違っていることについて何かアイデアはありますか?

angularjs  rest  spring-mvc  spring-boot  cors 
ジェーンウェイン
ソース
トークンなどのように、認証も行う必要があると思います。2台のサーバーがあります。そのチュートリアルを見ましたか?spring.io/guides/tutorials/spring-security-and-angular-js
グーカン・オナー
@GokhanOner認証を行うにはどうすればよいですか?それはおそらくこの問題の欠けている部分です。また、はい、私はそれらのチュートリアルを通過しましたが、それらが私のアプローチと一致しているとは思いませんでした。最初の2つの部分はHttp-Basic認証を扱い、3番目の部分はRedisを扱い(依存関係として取得することを望んでいなかった、または計画していませんでした)、最後のチュートリアルはAPI Gateway春の雲についてでしたが、これはやり過ぎだと思いました。
ジェーンウェイン
redisがなくてもできると思います。これは単なるKey-Valueキャッシュストアです。認証とCSRFトークンをストアに保存する必要があります。可能な場合はその場でマップ内に保存します。ここで重要なのは認証キーです。例を見て ください:github.com/dsyer/spring-security-angular/tree/master/…そして「リソースサーバー」のあるページ。いくつかの追加のBeanが定義されているのがわかりますが、CORSフィルターの順序も重要です。そして、いくつかの小道具。変更も必要です。
グーカン・オナー
わかりました、私は簡単な調査をしました。Redisを取り除くために必要なのは、springSessionRepositoryFilter Beanを作成しgithub.com / spring-projects / spring-session / blob / 1.0.0.RC1 /…、およびsessionRepositoryBeanとこのBeanを確認することだけです。 RedisOperationsSessionRepositoryの代わりに、Spring-sessionにあるMapSessionRepositoryを使用できます。そして、例に従ってください。
Gokhan Oner 2015

回答:

104 
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

@Component
public class SimpleCORSFilter implements Filter {

private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);

public SimpleCORSFilter() {
    log.info("SimpleCORSFilter init");
}

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;

    response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin"));
    response.setHeader("Access-Control-Allow-Credentials", "true");
    response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");

    chain.doFilter(req, res);
}

@Override
public void init(FilterConfig filterConfig) {
}

@Override
public void destroy() {
}

}

このクラスを追加するだけで、このフィルターを追加で定義する必要はありません。Springがスキャンされ、追加されます。SimpleCORSFilter。次に例を示します:spring-enable-cors

abosancic
ソース
いくつかの質問。1)どこで文字列定数を置くことになっていますHEADERSX_REDIRECT_LOCATION_HEADER?2)行request.getRequestURL());のタイプミスまたはコピー/貼り付けの間違いですか?3)OPTIONSフィルターチェーンをチェックして単純に続行しないのはなぜですか?
ジェーンウェイン
2
ただし、AuthenticationEntryPointの実行はブロックされます。ガイドしてください
Pra_A 2015
1
どうもありがとうございました。春と残り火を一緒に働かせるのに苦労しました。歓声メイト!
Tomasz Szymanek 2016
FindBugsはrequest.getHeader("Origin")HTTP応答の分割の
Glenn
3
アプリケーションに他のフィルターがある場合は、フィルターに@Order(Ordered.HIGHEST_PRECEDENCE) 。という注釈を付けて、このフィルターを最優先する必要があります。
Shafiul 2017年
44

私も同じような状況にありました。調査とテストを行った後、ここに私の発見があります:

  1. Spring Bootを使用して、グローバルCORSを有効にするための推奨される方法は、Spring MVC内で宣言し@CrossOrigin、次のようにきめ細かい構成と組み合わせることです。

    @Configuration
public class CorsConfig {

    @Bean
    public WebMvcConfigurer corsConfigurer() {
        return new WebMvcConfigurerAdapter() {
            @Override
            public void addCorsMappings(CorsRegistry registry) {
                registry.addMapping("/**").allowedMethods("GET", "POST", "PUT", "DELETE").allowedOrigins("*")
                        .allowedHeaders("*");
            }
        };
    }
}

  2. ここで、Spring Securityを使用しているため、SpringセキュリティレベルでもCORSを有効にして、SpringMVCレベルで次のように定義された構成を利用できるようにする必要があります。

    @EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and()...
    }
}

    これは、SpringMVCフレームワークでのCORSサポートを説明する非常に優れたチュートリアルです。

ヨーゲンライ
ソース
3
この変更で動作しますhttp.csrf()。disable()。cors()。and()
marti_ 2017年
1
@Osguxそれを聞いてうれしいです:)私は承認にJWTを使用していて、csrfセーフなので、そこに入れませんでした..それが役に立ったら賛成することを忘れないでください:)
Yogen Rai
はい、
@Marcelどのような問題が発生しますか?
Yogen Rai
<my rest address>のロードに失敗しました:プリフライトリクエストへの応答がアクセス制御チェックに合格しません: 'Access-Control-Allow-Origin'ヘッダーがリクエストされたリソースに存在しません。起源「はlocalhost:8090には、」したがって、アクセスが許可されていません。
マルセル
23

フィルタを使用せずに、または設定ファイルなしでCORSを有効にする場合は、次を追加するだけです。 

@CrossOrigin

あなたのコントローラーの上部にそしてそれは働きます。

エドゥアルド・デニス
ソース
4
このアプローチに従うことによるセキュリティリスクは何ですか?
Balaji Vignesh 2018
私のために働いて、私は応答に直接ヘッダーを追加しようとしましたが、プリフライトが処理されなかったのでそれは機能しませんでした。これは安全ではないと思いますが、一部の内部アプリで使用される可能性があります。
amisiuryk
私のために働いた。内部アプリケーションのための非常に便利なソリューション。
AjayKumar19年
8

上記の他の回答に基づいて構築するには、Springセキュリティを備えたSpringブートRESTサービスアプリケーション(Spring MVCではない)がある場合、Springセキュリティを介してCORSを有効にするだけで十分です(Spring MVCを使用する場合は、 WebMvcConfigurer、Yogenが述べたようにBeanをできますSpringセキュリティがそこに記載されているCORS定義に委任されるようにする方法)

したがって、次のことを行うセキュリティ構成が必要です。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    //other http security config
    http.cors().configurationSource(corsConfigurationSource());
}

//This can be customized as required
CorsConfigurationSource corsConfigurationSource() {
    CorsConfiguration configuration = new CorsConfiguration();
    List<String> allowOrigins = Arrays.asList("*");
    configuration.setAllowedOrigins(allowOrigins);
    configuration.setAllowedMethods(singletonList("*"));
    configuration.setAllowedHeaders(singletonList("*"));
    //in case authentication is enabled this flag MUST be set, otherwise CORS requests will fail
    configuration.setAllowCredentials(true);
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", configuration);
    return source;
}

}

このリンクには、同じ情報がありますhttps//docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#cors

注意:

  1. 製品がデプロイされたアプリケーションのすべてのオリジン(*)に対してCORSを有効にすることは、必ずしも良い考えではない場合があります。
  2. CSRFは、SpringHttpSecurityのカスタマイズを介して問題なく有効にできます
  3. Springを使用してアプリで認証を有効にしている場合(UserDetailsServiceたとえば、を介して)、をconfiguration.setAllowCredentials(true);追加する必要があります

Springブート2.0.0.RELEASE(つまり、Spring5.0.4.RELEASEおよびSpringセキュリティ5.0.3.RELEASE)についてテスト済み

ディーパック
ソース
これで私の問題は解決しました。SpringとSpringBootを初めて使用したので、SringMVCを使用してビルドしていないことに気付きました。私はVue.jsクライアントを持っていました。他の回答はSpringMVCに対するもののようでしたが、この回答は、すでに実装されている認証と承認にうまくプラグインされました。
jaletechs
こんにちは@jaletechs、私もnuxtJs(vuejsフレームワーク)を使用していますが、Cookieの設定に関しては機能しません。あなたはこれを手伝ってくれるほど親切でしょうか。
KAmit
6

spring boot 2.1.0私が使用していて、私のために働いたのは

A.次の方法でcorsマッピングを追加します。

@Configuration
public class Config implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**").allowedOrigins("*");
    }
}

B.HttpSecurity春のセキュリティのために以下の構成をmyに追加します

.cors().configurationSource(new CorsConfigurationSource() {

    @Override
    public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowedHeaders(Collections.singletonList("*"));
        config.setAllowedMethods(Collections.singletonList("*"));
        config.addAllowedOrigin("*");
        config.setAllowCredentials(true);
        return config;
    }
})

また、Zuulプロキシの場合は、このINSTEAD OF AおよびBを使用できます(HttpSecurity.cors()Springセキュリティで有効にするために使用するだけです)。

@Bean
public CorsFilter corsFilter() {
    final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("*");
    config.addAllowedHeader("*");
    config.addAllowedMethod("OPTIONS");
    config.addAllowedMethod("HEAD");
    config.addAllowedMethod("GET");
    config.addAllowedMethod("PUT");
    config.addAllowedMethod("POST");
    config.addAllowedMethod("DELETE");
    config.addAllowedMethod("PATCH");
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}
9月GH
ソース
新しいCorsFilter(source);を返します。ない、このようなコンストラクタエラー
Aadam
@Aadam私と同じバージョンのSpringBootを使用していますか?
9月GH19年
2.1.5は使用中です
Aadam
@AadamからCorsFilterを使用していることを確認してくださいorg.springframework.web.filter.CorsFilter。誤ってカタリナパッケージから使用したときに同じ問題が発生しました。
9月GH19年
5

これは私のために働きます:

@Configuration
public class MyConfig extends WebSecurityConfigurerAdapter  {
   //...
   @Override
   protected void configure(HttpSecurity http) throws Exception {

       //...         

       http.cors().configurationSource(new CorsConfigurationSource() {

        @Override
        public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
            CorsConfiguration config = new CorsConfiguration();
            config.setAllowedHeaders(Collections.singletonList("*"));
            config.setAllowedMethods(Collections.singletonList("*"));
            config.addAllowedOrigin("*");
            config.setAllowCredentials(true);
            return config;
        }
      });

      //...

   }

   //...

}
Renan Polisciuc
ソース
このコードは質問に答えることができますが、このコードが質問に答える理由や方法に関する追加のコンテキストを提供すると、長期的な価値が向上します。
アドリアーノ・マルチンス
1
Springセキュリティを介して認証が有効になっている場合は、config.setAllowCredentials(true); CORS要求がまだ失敗しそう置かなければならない
ディーパック
2

私にとって、春のセキュリティが使用されているときに100%機能したのは、余分なフィルターとBeanの追加の綿毛をすべてスキップすることでした。

代わりに、必要なヘッダーをプレーンで書き込むように強制しますStaticHeadersWriter

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
            // your security config here
            .authorizeRequests()
            .antMatchers(HttpMethod.TRACE, "/**").denyAll()
            .antMatchers("/admin/**").authenticated()
            .anyRequest().permitAll()
            .and().httpBasic()
            .and().headers().frameOptions().disable()
            .and().csrf().disable()
            .headers()
            // the headers you want here. This solved all my CORS problems! 
            .addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Origin", "*"))
            .addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Methods", "POST, GET"))
            .addHeaderWriter(new StaticHeadersWriter("Access-Control-Max-Age", "3600"))
            .addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Credentials", "true"))
            .addHeaderWriter(new StaticHeadersWriter("Access-Control-Allow-Headers", "Origin,Accept,X-Requested-With,Content-Type,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization"));
    }
}

これは、私が見つけた最も直接的で明示的な方法です。それが誰かを助けることを願っています。

ジェロニモ・バックス
ソース
1

これは私のために働いたものです。

@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.cors();
    }

}

@Configuration
public class WebConfiguration implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry
            .addMapping("/**")
            .allowedMethods("*")
            .allowedHeaders("*")
            .allowedOrigins("*")
            .allowCredentials(true);
    }

}
デニスクリスマンII
ソース
1

ステップ1

コントローラに@CrossOrigin注釈を付けることで、CORS構成が可能になります。

@CrossOrigin
@RestController
public class SampleController { 
  .....
}

ステップ2

独自のCorsFilterをBeanとして登録するだけで、次のように独自の構成を提供できますが、SpringにはすでにCorsFilterがあります。

@Bean
public CorsFilter corsFilter() {
    final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    final CorsConfiguration config = new CorsConfiguration();
    config.setAllowedOrigins(Collections.singletonList("http://localhost:3000")); // Provide list of origins if you want multiple origins
    config.setAllowedHeaders(Arrays.asList("Origin", "Content-Type", "Accept"));
    config.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "OPTIONS", "DELETE", "PATCH"));
    config.setAllowCredentials(true);
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
}
Saveendra Ekanayake
ソース
0

これをチェックしてください:

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
    ...
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
    ...
}
yibourkelidrissi
ソース
このコードは質問に答えることができますが、このコードが質問に答える理由や方法に関する追加のコンテキストを提供すると、長期的な価値が向上します。
rollstuhlfahrer 2018年
0

WebSecurityConfigurerAdapterクラスを拡張し、@ EnableWebSecurityクラスのconfigure()メソッドをオーバーライドすると機能します。以下はサンプルクラスです。

@Override
protected void configure(final HttpSecurity http) throws Exception {

         http
        .csrf().disable()
        .exceptionHandling();
         http.headers().cacheControl();

        @Override
        public CorsConfiguration getCorsConfiguration(final HttpServletRequest request) {
            return new CorsConfiguration().applyPermitDefaultValues();
        }
    });
   }
}
keyRen
ソース
0

もともとプログラムがスプリングセキュリティを使用しておらず、コードを変更する余裕がない場合は、単純なリバースプロキシを作成することでうまくいく可能性があります。私の場合、次の構成でNginxを使用しました。

http {
  server {
    listen 9090;
    location / {
      if ($request_method = 'OPTIONS') {
      add_header 'Access-Control-Allow-Origin' '*';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      #
      # Custom headers and headers various browsers *should* be OK with but aren't
      #
      add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
      #
      # Tell client that this pre-flight info is valid for 20 days
      #
      add_header 'Access-Control-Max-Age' 1728000;
      add_header 'Content-Type' 'text/plain; charset=utf-8';
      add_header 'Content-Length' 0;
      return 204;
      }
      if ($request_method = 'POST') {
      add_header 'Access-Control-Allow-Origin' '*';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
      add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
      }
      if ($request_method = 'GET') {
      add_header 'Access-Control-Allow-Origin' '*';
      add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
      add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
      add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range';
      }

      proxy_pass http://localhost:8080;
    }
  }
}

私のプログラムは:8080をリッスンします

REF:NginxのCORS

Orvyl
ソース
0

この回答は@abosancicの回答をコピーしますが、CORSの悪用回避するための安全性を追加しますます。

ヒント1:アクセスを許可されたホストのリストを確認せずに、着信Originをそのまま反映しないでください。

ヒント2:ホワイトリストに登録されたホストに対してのみ資格情報の要求を許可します。

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;

@Component
public class SimpleCORSFilter implements Filter {

    private final Logger log = LoggerFactory.getLogger(SimpleCORSFilter.class);

    private List<String> allowedOrigins;

    public SimpleCORSFilter() {
        log.info("SimpleCORSFilter init");
        allowedOrigins = new ArrayList<>();
        allowedOrigins.add("https://mysafeorigin.com");
        allowedOrigins.add("https://itrustthissite.com");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        String allowedOrigin = getOriginToAllow(request.getHeader("Origin"));

        if(allowedOrigin != null) {
            response.setHeader("Access-Control-Allow-Origin", allowedOrigin);
            response.setHeader("Access-Control-Allow-Credentials", "true");
        }

        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Accept, X-Requested-With, remember-me");

        chain.doFilter(req, res);
    }

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void destroy() {
    }

    public String getOriginToAllow(String incomingOrigin) {
        if(allowedOrigins.contains(incomingOrigin.toLowerCase())) {
            return incomingOrigin;
        } else {
            return null;
        }
    }
}
Shailesh Pratapwar
ソース
0

Spring Bootアプリでは、このようにCorsConfigurationSourceを設定しました。

allowedOrigns最初に追加してから設定するシーケンスによりapplyPermitDefaultValues()、Springは許可されたヘッダー、公開されたヘッダー、許可されたメソッドなどのデフォルト値を設定できるため、これらを指定する必要はありません。

    public CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOrigins(Arrays.asList("http://localhost:8084"));
        configuration.applyPermitDefaultValues();

        UrlBasedCorsConfigurationSource configurationSource = new UrlBasedCorsConfigurationSource();
        configurationSource.registerCorsConfiguration("/**", configuration);
        return configurationSource;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers("/api/**")
                .access("@authProvider.validateApiKey(request)")
                .anyRequest().authenticated()
                .and().cors()
                .and().csrf().disable()
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint);

        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
シャーに会う
ソース
0

次のような単一のクラスを作成するだけで、すべてがうまくいきます。

        @Component
        @Order(Ordered.HIGHEST_PRECEDENCE)
        public class MyCorsConfig implements Filter {

            @Override
            public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
                final HttpServletResponse response = (HttpServletResponse) res;
                response.setHeader("Access-Control-Allow-Origin", "*");
                response.setHeader("Access-Control-Allow-Methods", "POST, PUT, GET, OPTIONS, DELETE");
                response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, enctype");
                response.setHeader("Access-Control-Max-Age", "3600");
                if (HttpMethod.OPTIONS.name().equalsIgnoreCase(((HttpServletRequest) req).getMethod())) {
                    response.setStatus(HttpServletResponse.SC_OK);
                } else {
                    chain.doFilter(req, res);
                }
            }

            @Override
            public void destroy() {
            }

            @Override
            public void init(FilterConfig config) throws ServletException {
            }
        }
Imranmadbar
ソース
0

これは、SpringブートとReactの間のCORSを無効にするために私のために働いたものです

@Configuration
public class CorsConfig implements WebMvcConfigurer {

    /**
     * Overriding the CORS configuration to exposed required header for ussd to work
     *
     * @param registry CorsRegistry
     */

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("*")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(4800);
    }
}

以下のようにセキュリティ構成を変更する必要がありました。

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.csrf().disable()
                    .cors().configurationSource(new CorsConfigurationSource() {

                @Override
                public CorsConfiguration getCorsConfiguration(HttpServletRequest request) {
                    CorsConfiguration config = new CorsConfiguration();
                    config.setAllowedHeaders(Collections.singletonList("*"));
                    config.setAllowedMethods(Collections.singletonList("*"));
                    config.addAllowedOrigin("*");
                    config.setAllowCredentials(true);
                    return config;
                }
            }).and()
                    .antMatcher("/api/**")
                    .authorizeRequests()
                    .anyRequest().authenticated()
                    .and().httpBasic()
                    .and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                    .and().exceptionHandling().accessDeniedHandler(apiAccessDeniedHandler());
        }
ギル・ニュージーランド
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.