Srping Cloud Gateway 跨域配置 CorsWebFilter

于 2025-06-07 13:21:41 发布
阅读量1.4k 收藏 11
点赞数 24
CC 4.0 BY-SA版权
分类专栏: # Spring Cloud 架构 # 计算机网络 文章标签: gateway 微服务 Spring cloud java 跨域
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40979518/article/details/148494238

引言:跨域问题的本质与网关的解决方案

在现代Web应用中,跨域资源共享(CORS)是前端开发中不可避免的挑战。作为微服务架构的入口,Spring Cloud Gateway提供了强大的CORS支持。本文将深入剖析网关中的跨域处理机制,揭示其与全局过滤器和安全链的交互原理。

一、配置CORS的两种方式

SpringCloudGateway 使用CorsWebFilter 来处理跨域逻辑,这个 Filter 可以通过配置开启,也可以自己定义

配置文件开启

开启跨域配置globalcors后,SpringCloudGateway 会自动注册一个全局的跨域过滤器 CorsWebFilter,会由它来处理请求的 CORS 相关逻辑

spring:
  cloud:
    gateway:
      globalcors:
        add-to-simple-url-handler-mapping: true
        cors-configurations:
          # 注意缩进
          '[/**]':
            # 注意 allowed-origins 设置* 不能与allow-credentials=true同时开启
            allowed-origins: 
              - "https://production-domain.com"
              - "http://localhost:*"
            allowed-methods: 
              - GET
              - POST
              - PUT
              - DELETE
              - OPTIONS
            allowed-headers: 
              - "Content-Type"
              - "Authorization"
            allow-credentials: true
            max-age: 3600

自定义CorsWebFilter方式

@Bean
public CorsWebFilter corsWebFilter() {
    CorsConfiguration config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.addAllowedOrigin("https://production-domain.com");
    config.addAllowedMethod("*");
    config.addAllowedHeader("*");
    config.setMaxAge(3600L);

    UrlBasedCorsConfigurationSource source = 
    new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);

    return new CorsWebFilter(source);
}

二、 CorsWebFilter 跨域过滤器

CorsWebFilter的核心责任

  1. Origin验证器
    • 只验证Origin头的合法性
    • 不区分请求方法(GET/POST/OPTIONS同等对待)
    • 非法Origin:直接拦截返回403
    • 合法Origin:标记请求并放行
    • 没有 Origin:直接放行
  2. 响应头装饰器
    • 在响应返回阶段检查"跨域标记"
    • 为标记的请求添加CORS头
    • 不修改业务系统的原始响应

CorsWebFilter 的跨域处理流程

  1. 请求带有orgin则进入跨域请求判断,如果origin是不允许的,那么CorsWebFilter直接拦截了请求,返回403
  2. 请求的origin是允许的,那么CorsWebFilter就会放行,后续进入SecurityWebFilterChain 、低优先级的全局过滤器,然后进入最后的路由过滤器。并且CorsWebFilter会为响应带上跨域相关的请求头
  3. 请求不带有origin请求头,CorsWebFilter 会直接放行,最后也不会为响应带上跨域相关的请求头。
  4. OPTIONS请求的路径,和非OPTIONS的路径是一样的,如果options带origin字段,则会由CorsWebFilter根据origin拦截或放行到最后的业务系统,,如果options不带有origin字段则CorsWebFilter 直接放行到业务系统,由业务系统处理该OPTIONS请求。所以业务系统也可以单独定义自己的跨域逻辑。

网关统一处理 OPTIONS 请求

可以看到,OPTIONS 请求,即使在满足网关跨域的条件下,依然会向业务系统传递,如果不需要其他要求,可以直接在网关这一层就对 OPTIONS 请求进行响应了。

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE + 1)
public GlobalFilter optionsFilter() {
    return (exchange, chain) -> {
        if (exchange.getRequest().getMethod() == HttpMethod.OPTIONS) {
            // 构造标准响应
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.NO_CONTENT);
            response.getHeaders().setAccessControlMaxAge(Duration.ofHours(1));
            return response.setComplete(); // 中断后续处理
        }
        return chain.filter(exchange);
    };
}

三、 Spring Cloud Gateway请求处理全链条

完整过滤器链执行顺序

顺序组件Order值职责
1CorsWebFilter-2147483648处理跨域逻辑
2全局过滤器 (高优先级)< -100认证、日志等预处理
3SecurityWebFilterChain-100安全认证与授权
4全局过滤器 (低优先级)> -100响应处理等后置操作
5路由过滤器1~10000路径重写、负载均衡
6下游服务-业务处理

关键组件交互时序图

Spring Cloud Gateway 域配置服务请求跟踪
专注于计算机研发知识和资讯分享
06-26 692
背景: 服务之间调用需要携带一些用户信息之类的 所以实现了Feign的RequestInterceptor拦截器复制请求头,复制的时候是所有头都复制的,调用方日志request_id:752583312D。被调用日志request_id:752583312D。将请求ID添加到MDC。
SpringCloud】9、Spring Cloud Gateway域配置
Asurplus
01-07 2023
,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对 JavaScript 施加的安全限制。
Spring security 与 Spring cloud gateway 域配置(解决Spring cloud gateway域配置不生效的问题)
szw-yunie的博客
04-09 4029
Spring security 与 Spring cloud gateway 域配置(解决Spring cloud gateway域配置不生效的问题)
网关配置全局请求(CorsWebFilter
伍妖捌的小屋
06-24 1840
配置类 @Configuration public class CorsConfig { @Bean public CorsWebFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); config.addAllowedMethod("*"); config.addAllowedOrigin("*"); config.addAllowed
CORS解决问题(403问题)
weixin_30622181的博客
08-18 981
1、什么是问题?   问题是浏览器对于ajax请求的一种安全限制:一个页面发起的ajax请求,只能是用当前页同名同端口的路径,这能有效的阻止站攻击。 2、问题出现的条件:   1、问题是ajax请求特有的问题。   2、前后端的名、端口不一致。 3、CORS解决原理简单分析:   CORS需要浏览器和服务器的同时支持。   浏...
如何配置-解决方案
AdolfQiu的博客
11-21 1042
package com.atguigu.gulimall.gateway.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cors.CorsConfiguration; import org.springframework.web.cors.re...
解决请求问题
chy-x 的博客
08-31 1404
目录常见的几种情况常用的解决方案前端vue解决axios的问题后端springboot解决问题   常见的几种情况 名不同,eg. www.baidu.com、www.mall.baidu.com 使用的端口不同,eg. 80、8080 使用的协议不同,eg. http、https   常用的解决方案 的解决方案很多,可以在前端解决,也可以在后端解决。   前端vue解决axios的问题 1、main.js //axios请求的默认前缀 a
CorsWebFilter 解决请求问题
weixin_45359574的博客
01-27 5690
如在浏览器控制台看到类似于 xxx has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the request resouce.,则是出现了请求问题。CorsWebFilter 可以用于解决请求,配置也很简单。 /** * 请求配置 */ @Configuration public class CorsConfig { @Bean public Cors
拦截器、过滤器、域配置
zqy123456_123的博客
12-12 3587
解决单个controller问题,直接在需要的Controller的类上添加 @CrossOrigin 注解即可。一个网关管理多个服务时,设置此配置类对象,可以从网关层面解决多个服务的问题,这就不需要每个服务都写一遍了。,进行设置,'' FilterRegistrationBean ''。当一个模块中controlller过多时,添加注解过于繁琐,可以创建一个配置。
SpringCloud Gateway域配置代码实例
08-25
SpringCloud Gateway 域配置代码实例详解 在本文中,我们将详细介绍 SpringCloud Gateway 域配置代码实例。域配置是指在不同的源之间共享资源时,如何配置服务器以允许请求。SpringCloud Gateway 提供了...
针对springcloud gateway 问题解决方案
evanYang的博客
04-18 1646
是由网络上的用户和计算机组成的一个逻辑或逻辑集合,中所有的对象都存储在活动目录下,一个网络可以建立一个或者多个,每个都是一个安全界限,意味着各种权限不能
springboot/springcloud配置webfilter拦截前端访问方法,鉴权返回401(有解释以及部分踩坑)
weixin_43795840的博客
03-14 2017
1.注意配置main方法启动类上加注解@ServletComponentScan 2.最好配置一个全局异常捕获类方便操作 3.因为鉴别token时从redis中取得,注意配置redistemplate,(此处我碰到了一个小问题,j s kon解析出现了异常:::解决方法-可以替换为stringredistemplate解析!!!) 此处配置的filter类:有注解 package com.service.config; import com.alibaba.fastjson.JSON; import lo
spring cloud gateway域配置CORS Configuration
09-28 5754
spring cloud gateway域配置CORS Configuration
SpringBoot Cors配置+原理分析(corsfilter)
z69183787的专栏
06-24 4400
(951条消息) 的那些事 - CorsWebFilter 源码分析(二)_Lewis·fk的博客-CSDN博客_corswebfilterhttps://blog.csdn.net/fk1778770286/article/details/115734587一文弄懂 CORS (前端+后端代码实例讲解) - 掘金 (juejin.cn)https://juejin.cn/post/6844904055148380173(951条消息) SpringBoot设置(CORS)_骑个小蜗牛的博客
系】为何配置了corsFilter还是出现问题
run_boy_2022的博客
04-20 2665
java代码解决这个问题,尤其是springboot项目,可以有很多种方式,我这里由于项目原因以及处于从web访问执行的流程上来说filter肯定是先执行的,直接就选择用filter来处理的。为了本地容易测试这个问题,简单写了一个简单的html文件贴到这里来,当然关于页面需要的脚本jquery包 就大家需要自己来获取了。贴上上面的代码,理论上面springboot启动 之后,问题应该就可以解决了,但是当我访问的时候还是会出现的问题。虽然添加了的配置,这里我的控制台竟然是的问题。
CORS 简述 spring cloud gateway
weixin_44078005的博客
11-16 172
并不会阻止请求的发出,也不会阻止请求的接受,是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个数据。
资源共享 (CORS)
m0_73837751的博客
11-22 1222
是指浏览器发起的请求,其目标服务器与当前页面的来源(名、协议、端口)不一致。问题的根源在于(Same-Origin Policy),这是一种安全机制,防止恶意站点通过 JavaScript 等方式访问用户敏感数据。限制:浏览器的同源策略只允许当前网页(前端)的名、端口、和协议与后端一致。如果前后端运行在不同的端口、协议或名下(如前端在,后端在),这就是,浏览器会阻止请求。
CORS过滤器:解决Ajax问题的解决方案及源码分析
YOLO_CODE的博客
09-12 100
CORS通过在服务器端设置HTTP响应头来允许请求,并且提供了一种安全可控的方式来允许或拒绝请求。CORS过滤器通过在服务器端设置HTTP响应头,允许请求,并提供了一种安全可控的方式来管理请求。通过以上代码和配置,我们成功地创建了一个CORS过滤器,并配置服务器以允许请求。当浏览器发起AJAX请求时,服务器将返回适当的CORS响应头,允许浏览器继续处理请求。在本文中,我们将探讨如何使用CORS过滤器来解决AJAX问题,并深入分析其源代码。对象,并设置了一些CORS相关的响应头。
Spring Cloud Gateway 白名单配置
最新发布
03-12
### 配置Spring Cloud Gateway中的CORS白名单 为了使Spring Cloud Gateway支持源资源共享(CORS),可以利用`CorsConfiguration`类来定义允许的来源、HTTP方法和其他必要的参数[^1]。通过创建一个全局过滤器或者针对特定路由设置CORS策略,能够有效地管理哪些外部名被授权访问API网关下的资源。 对于希望应用到整个系统的宽泛配置而言,在主应用程序类上添加如下@Bean定义即可实现: ```java import org.springframework.context.annotation.Bean; import org.springframework.web.cors.CorsConfiguration; import org.springframework.cloud.gateway.route.RouteLocator; import org.springframework.cloud.gateway.route.builder.RouteLocatorBuilder; // ... other imports ... @Configuration public class CorsConfig { @Bean public RouteLocator customRoutes(RouteLocatorBuilder builder) { String corsUrlPattern = "http://example.com"; // 替换成实际要加入白名单的URL模式 return builder.routes() .route(r -> r.path("/api/**") // 指定路径匹配规则 .filters(f -> f.addResponseHeader("Access-Control-Allow-Origin", corsUrlPattern)) .uri("lb://backend-service")) // 后端服务地址 .build(); } } ``` 上述代码片段展示了如何为指定路径下的请求添加响应头以允许来自给定模式(`corsUrlPattern`)的请求。需要注意的是,这种方式适用于简单的场景;如果需求更为复杂,则建议采用更灵活的方法——即基于`WebFilter`接口自定义逻辑处理每一个进入网关的HTTP请求,并动态决定是否放行该次调用[^2]。 此外,还可以直接修改application.yml文件内的属性来进行更加简便的操作: ```yaml spring: cloud: gateway: globalcors: add-to-simple-url-handler-mapping: true cors-configurations: '[/**]': allowedOrigins: "http://example.com" allowedMethods: - GET - POST - PUT - DELETE allowCredentials: true ``` 此YAML配置实现了相同的功能:它指定了允许越的所有原始站点以及它们可执行的动作列表。同时启用了凭证共享功能(`allowCredentials: true`),这通常用于涉及用户认证信息交换的情况中[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值