理解Spring Boot中的CORS和CSRF

烦烦4个月前发布
830

1. CORS(跨域资源共享)

定义:

CORS 是浏览器中实现的一种安全特性,用于控制 Web 应用程序如何从不同域访问资源。它的设计目的是防止网页向与提供该页面的域不同的域发出请求。这对于 API 尤其重要,因为托管在不同域上的客户端(如 Web 应用程序)可能需要访问你的 Spring Boot 服务器。

CORS 的工作原理:

  • • 当浏览器发出跨域请求时(例如,你的前端在 http://localhost:3000 上向运行在 http://localhost:8080 上的 Spring Boot API 发出请求),浏览器会向服务器发送一个预检请求OPTIONS 请求),以检查服务器是否允许此类跨域请求。
  • • 服务器会返回一组标头,指示是否允许实际请求。

在 Spring Boot 中配置 CORS:

你可以在全局范围内或特定控制器上配置 CORS。

示例 — Spring Boot 中的全局 CORS 配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**") // 允许所有路径的 CORS
            .allowedOrigins("http://localhost:3000") // 允许特定来源
            .allowedMethods("GET", "POST", "PUT", "DELETE") // 允许特定方法
            .allowedHeaders("*") // 允许所有标头
            .allowCredentials(true); // 允许凭证(例如,cookies)
    }
}

2. CSRF(跨站请求伪造)

定义:

CSRF 是一种攻击类型,恶意网站会诱使用户的浏览器在用户已认证的不同网站上执行不需要的操作(例如提交表单、进行交易)。它利用了网站对用户浏览器的信任。

CSRF 的工作原理:

  • • 如果用户登录了一个网站(例如银行网站),攻击者可以创建一个恶意页面,诱使用户的浏览器在用户不知情的情况下向该网站发送请求。这可能导致未经授权的操作,例如转账或账户更改。
  • • CSRF 保护通过要求在表单或标头中包含一个令牌(CSRF 令牌)来确保发送到服务器的请求来自合法来源。

Spring Boot 中的 CSRF 保护:

默认情况下,Spring Security 提供了 CSRF 保护。当启用 CSRF 保护时,每个表单提交都会包含一个由服务器验证的 CSRF 令牌。

  • • CSRF 令牌 是一个唯一的、秘密的、不可预测的值,由服务器生成并包含在 HTTP 请求中(通常在表单或标头中)。服务器会检查此令牌以确保请求是合法的。

禁用 CSRF:

在某些情况下,如果你正在使用无状态 API(例如使用 JWT 令牌进行身份验证),你可能希望禁用 CSRF,因为它与无状态服务无关。

示例 — 在 Spring Boot 中禁用 CSRF

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable() // 禁用 CSRF 保护
            .authorizeRequests()
            .anyRequest().authenticated(); // 确保所有请求都经过身份验证
    }
}

总结

CORS:一种基于浏览器的安全特性,用于控制来自 Web 应用程序的跨域请求。它通过标头进行配置,Spring Boot 提供了灵活的配置选项。

CSRF:一种安全机制,用于防止恶意请求(例如表单提交)诱使用户在其已认证的网站上执行不需要的操作。Spring Security 默认启用了 CSRF 保护,但对于无状态 API 可以禁用它。

 

Spring Boot
评分
欢迎为Ta评分
分享
请登录后发表评论

    没有回复内容

分享
Spring专区-SpringForAll社区

Spring专区

Spring、Spring Boot、Spring Data、Spring Security、Spring Cloud等,任何与Spring相关的内容。
发布
帖子
599
互动
383
阅读
11.8W+
  • Java 8 简明教程
    本教程将带领你一步一步地认识这门语言的新特性。通过简单明了的代码示例,你将会学习到如何使用默认接口方法,Lambda表达式,方法引用和重复注解。看完这篇教程后,你还将对最新推出的API有一定的了解,例如:流控制,函数式接口,map扩展和新的时间日期API等等。
  • Java 新特性解读
    盘点Java8之后的各种新特性学习
  • Spring Boot 1.x 入门教程
    Spring Boot 1.x版本入门教程,全网最早连载的的免费Spring Boot经典教程
  • Spring Boot 2.x 入门教程
    Spring Boot 2.x版本入门教程,全网最早连载的的免费Spring Boot经典教程
  • Spring Cloud教程
    全网最早最全最持久的Spring Cloud教程,内容涵盖经典Netflix套件、Aliababa套件
  • Spring Guides
    Spring官方指南的翻译
  • 开发者安装大全
    该专栏主要创作、整理、汇总开发者常用的好用软件、编程环境、中间件等工具的安装,以指导开发者快速搭建自己的需要的开发环境。
  • 玩转 IntelliJ IDEA
    收录各种IDEA的使用技巧、实用插件
标签云
开源 (43)原创 (11)Spring Shell (0)Spring Security (13)Spring Native (0)Spring LDAP (0)Spring Data (12)Spring Cloud Gateway (2)Spring Cloud (29)Spring Boot (169)Spring Batch (3)Spring Authorization (3)Spring AI (4)Spring (64)Java (129)IDEA插件 (2)Chrome插件 (3)
扫码添加微信-SpringForAll社区
在手机上浏览此页面