Spring REST Security Testing - проблема перекрестного происхождения

Question

Я работаю над приложением Spring Boot и Spring Rest. Тестирование безопасности сообщило о проблеме

"Веб-приложение или службы информируют веб-клиента о разрешенном домене с помощью HTTP-заголовка ответа Access-Control-Allow-Origin. Заголовок может содержать '*' чтобы указать, что все домены разрешены. "

Исправление -

Используйте заголовок Access-Control-Allow-Origin только на выбранных URL-адресах, к которым необходимо получить доступ через домен. Не используйте заголовок для всего домена.

При выполнении HTTP-запроса они использовали origin: null, затем Access-Control-Allow-Origin: *

Как я могу это реализовать?

Answer 1

используйте это в своем проекте, я думаю, что это решит вашу проблему,

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class Filter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token, token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");

        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            filterChain.doFilter(request, response);
        }
    }


}