那些遇到过的问题

Cors Filter - 允许所有子域

Urb*_*leg 8 java spring cross-domain cors

我希望我的CorsFilter能够做到以下几点:

// populating the header required for CORS
response.addHeader(
           "Access-Control-Allow-Origin",
           "https://*.myDomain.com");
Run Code Online (Sandbox Code Playgroud)

整个想法是允许以下域名发出请求:sub1.myDomain.com,sub2.myDomain.com,sub3.myDomain.com .... sub100.myDomain.com

这不适合我.我怎样才能做到这一点?我试过了:

response.addHeader(
           "Access-Control-Allow-Origin",
           "*.myDomain.com");
Run Code Online (Sandbox Code Playgroud)

也没有成功.

Loc*_*Loc 15

我有类似的问题,答案是肯定的.

这是我的解决方案(根据原始标题处理Access-Control-Allow-Origin)

1.从'origin'标题中解析主机

    // origin
    String origin = request.getHeader("Origin");

    URL originUrl = null;
    try {
        originUrl = new URL(origin);
    } catch (MalformedURLException ex) {
    }

    // originUrl.getHost() -> Return the host need to be verified
Run Code Online (Sandbox Code Playgroud)

2.检查originUrl.getHost()

    // Allow myDomain.com
    // Or anySubDomain.myDomain.com
    // Or subSub.anySubDomain.myDomain.com

    // hostAllowedPattern 
    Pattern hostAllowedPattern = Pattern.compile("(.+\\.)*myDomain\\.com", Pattern.CASE_INSENSITIVE);

    // Allow host?
    if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
        response.addHeader("Access-Control-Allow-Origin", origin);

    } else {
        // Throw 403 status OR send default allow
        response.addHeader("Access-Control-Allow-Origin", "https://my_domain.com");
    }
Run Code Online (Sandbox Code Playgroud)

3.结果:

    // If 'origin': https://sub1.myDomain.com  --> Matched
    Access-Control-Allow-Origin: https://sub1.myDomain.com

    // If 'origin': https://sub2.myDomain.com   --> Matched
    Access-Control-Allow-Origin: https://sub2.myDomain.com

    // If 'origin': https://notAllowDomain.com   --> Not Matched
    Access-Control-Allow-Origin: https://my_domain.com
Run Code Online (Sandbox Code Playgroud)

4.其他:

    You need to verify scheme & port too.
Run Code Online (Sandbox Code Playgroud)

Pau*_*nis 8

你不能,它是完整的域名,null或全部:*.

像规范说:http: //www.w3.org/TR/cors/#access-control-allow-origin-response-header

  • 难道不是一个强词^^ (3认同)

jas*_*iko 7

这个用例现在由Spring 的 CorsConfiguration直接支持。

修改文档示例以匹配您的问题,这可能是:

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowedOriginPatterns(Arrays.asList("https://*.myDomain.com"));
        configuration.setAllowedMethods(Arrays.asList("GET","POST"));
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
Run Code Online (Sandbox Code Playgroud)

值得注意的是,像这样的通配符仍然不是CORS 标准的一部分。相反,这是一个 Spring 机制,用于根据您的模式返回符合 CORS 的标头值。

例如,如果您现在从Origin=https://subdomain.myDomain.com响应中进行调用将包含标头Access-Control-Allow-Origin=https://subdomain.myDomain.com

归档时间:

查看次数:

15483 次

最近记录:

7 年,6 月 前
Access-Control-Allow-Origin通配符子域,端口和协议 285
更多相关链接
相关归档
为什么使用带有Java import语句的通配符不好? 384
从Java字符串中删除前导和尾随空格 268
Eclipse构建路径嵌套错误 115
Spring Boot Program找不到主类 57
单元测试依赖于请求上下文的方法 54
预检的响应具有无效的HTTP状态代码401 - Spring 12
是否可以通过 Firebase 托管来托管 Java Spring 应用程序? 11
使用FormsAuthentication的跨域Cookie 10
春天原型豆和春天的好处 8
spring eureka security 批量更新失败,HTTP 状态码为 401 8
难疑归档
撤消尚未推送的Git合并 3695
如何修复android.os.NetworkOnMainThreadException? 2308
Bash中的Echo newline打印文字\n 2171
如何在MySQL中使用命令行导入SQL文件? 1836
无法打开与身份验证代理的连接 1473
如何为项目中的单个文件禁用ARC? 1332
循环遍历Bash中的文件内容 1242
如何使用AngularJS在浏览器控制台中访问$ scope变量? 1220
获取对象类型的名称 1159
Vim最有效的捷径是什么? 1127