更新: 现在回顾一年多以后,我正在给予更新希望,这将有助于其他人。
Spring IO建议对普通用户可以由浏览器处理的任何请求使用CSRF保护。如果您只创建非浏览器客户端使用的服务,则可能需要禁用CSRF保护。 由于我的应用程序是API并且将由浏览器处理,因此禁用CSRF不是一种方法。
默认情况下,使用Spring Boot启用CSRF,您需要添加以下代码以添加CSRF存储库和过滤器,以将CSRF令牌添加到您的http请求中。 (解决方案来自这里Invalid CSRF Token in POST request)
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/assets/**", "/templates/**", "/custom-fonts/**", "/api/profile/**", "/h2/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.csrf().csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(csrfHeaderFilter(), SessionManagementFilter.class); // Register csrf filter.
}
过滤器& CsrfToken存储库部分:
private Filter csrfHeaderFilter() {
return new OncePerRequestFilter() {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain filterChain) throws ServletException, IOException {
CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
if (csrf != null) {
Cookie cookie = WebUtils.getCookie(request, "XSRF-TOKEN");
String token = csrf.getToken();
if (cookie == null || token != null
&& !token.equals(cookie.getValue())) {
// Token is being added to the XSRF-TOKEN cookie.
cookie = new Cookie("XSRF-TOKEN", token);
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
};
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
我在2016年2月回复的原始问题
我正致力于使用Spring 4启动Spring-boot RESTful API的全局CORS支持。
我正在关注官方的Spring Boot Doc(https://spring.io/guides/gs/rest-service-cors/)并将其添加到我的应用程序中:
public class SomeApiApplication {
public static void main(String[] args) {
SpringApplication.run(SomeApiApplication.class, args);
}
//Enable Global CORS support for the application
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedOrigins("http://localhost:8080")
.allowedMethods("GET", "POST", "PUT", "DELETE", "HEAD")
.allowedHeaders("header1", "header2") //What is this for?
.allowCredentials(true);
}
};
}
}
我不明白为什么只有GET正在工作,对于其余的http调用,我收到一条错误消息“无效的CORS请求”。我在设置中是否遗漏了什么?如果我的设置不正确,GET也不应该正常工作。我很困惑。
答案 0 :(得分:8)
我遇到了同样的问题 - GET工作了。 POST没有。我在CORS域中寻找答案,但最终发现它是由于CSRF保护。 为了解决这个问题,我在安全配置中禁用了CSRF保护:
@Configuration @EnableWebSecurity
public class SpringWebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
**.csrf().disable()** //TODO: for production, must be reconfigured in order to disable only in specific cases. This line was added because without it, HTTP POST requests did not work.
.authorizeRequests()
.antMatchers("/api/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
确保您了解自己在做什么:https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html
答案 1 :(得分:5)
尝试将allowedOrigins方法更改为.allowedOrigins("*")。邮差是一个扩展,它运行在另一个“主机”。
但请确保您了解影响:https://spring.io/understanding/CORS
答案 2 :(得分:3)
我遇到了类似的问题,只有HEAD GET和POST为我工作。
我发现addCorsMappings的默认值为allowedMethods。
此代码对我有用:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
@Configuration
public class MyConfiguration {
@Bean
public WebMvcConfigurer corsConfigurer() {
return new WebMvcConfigurerAdapter() {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**")
.allowedMethods("*")
.allowedOrigins("http://localhost:4200");
}
};
}
}
答案 3 :(得分:2)
我有类似的问题并且发现我的控制器上的@CrossOrigin必须被删除才能解决问题。然而要找出导致“无效的CORS请求”的原因。
答案 4 :(得分:0)
我遇到了同样的问题,经过研究发现,浏览器在响应中查找名为 Access-Control-Allow-Origin 的HTTP标头。
浏览器发送 OPTION请求,以查明允许使用哪些方法,例如 PUT,DELETE 。如果从服务器端允许了所请求的方法,则浏览器将发出实际请求,并再次根据响应中的 Access-Control-Allow-Origin 标头传递或阻止响应。 只需添加一个四季豆即可解决您的问题。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
@Configuration
public class RestConfig {
@Bean
public CorsFilter corsFilter() {
UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
CorsConfiguration config = new CorsConfiguration();
config.setAllowCredentials(true);
config.addAllowedOrigin("*");
config.addAllowedHeader("*");
config.addAllowedMethod("OPTIONS");
config.addAllowedMethod("GET");
config.addAllowedMethod("POST");
config.addAllowedMethod("PUT");
config.addAllowedMethod("DELETE");
source.registerCorsConfiguration("/**", config);
return new CorsFilter(source);
}
}