0

我正在开发 Spring Boot 和 Spring Rest 应用程序。安全测试报告了这个问题

“Web 应用程序或服务使用 HTTP 响应标头 Access-Control-Allow-Origin 通知 Web 客户端允许的域。标头可以包含一个 '*' 表示允许所有域。”

补救 -

仅在需要跨域访问的选定 URL 上使用 Access-Control-Allow-Origin 标头。不要将标头用于整个域。

在发出 HTTP 请求时,他们使用了origin: null, 然后Access-Control-Allow-Origin: *

我该如何实施?

4

1 回答 1

1

在你的项目中使用它,我认为它会解决你的问题,

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class Filter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token, token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");

        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            filterChain.doFilter(request, response);
        }
    }


}
于 2020-04-14T18:30:48.520 回答