在spring boot应用程序中禁用HTTP选项方法

在Spring Boot应用程序中禁用HTTP OPTIONS方法是一个安全措施，可以帮助减少潜在的攻击面。OPTIONS方法通常用于CORS（跨源资源共享）中，用来探测服务器支持的HTTP方法。如果你的应用不需要处理跨源请求，或者你想要严格控制哪些HTTP方法可用，禁用OPTIONS方法可能是一个好选择。

以下是几种在Spring Boot应用中禁用HTTP OPTIONS方法的方法：

1. 使用Spring Security

如果你的项目中已经集成了Spring Security，你可以通过配置HTTP安全策略来禁用OPTIONS方法。在你的Spring Security配置类中，你可以添加一个配置来禁止OPTIONS请求。

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .csrf().disable()
            .httpBasic()
                .and()
            .authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS,"/**").denyAll(); // 禁用OPTIONS
    }
}

这段代码设置了对所有请求的认证，并且明确拒绝了对所有URL的OPTIONS请求。

2. 使用自定义过滤器

如果你不使用Spring Security，你可以通过创建一个自定义的过滤器来拦截并禁用OPTIONS请求。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class HttpOptionsRequestFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;

        if (req.getMethod().equalsIgnoreCase("OPTIONS")) {
            res.setStatus(HttpServletResponse.SC_FORBIDDEN);
            return;
        }

        chain.doFilter(request, response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // Filter initialization can be done here
    }

    @Override
    public void destroy() {
        // Filter destruction can be done here
    }
}

然后，你需要在你的Spring Boot应用中注册这个过滤器：

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean<HttpOptionsRequestFilter> httpOptionsRequestFilter(){
        FilterRegistrationBean<HttpOptionsRequestFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new HttpOptionsRequestFilter());
        registrationBean.addUrlPatterns("/*");
        return registrationBean;
    }
}

这样，任何到达应用的OPTIONS请求都会被拦截并返回403 Forbidden响应。

3. 在Controller中处理OPTIONS

另一种方法是在你的Controller中显式处理OPTIONS请求，并返回一个不允许的状态。

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class MyController {

    @RequestMapping(value = "/**", method = RequestMethod.OPTIONS)
    public ResponseEntity handleOptions() {
        return ResponseEntity.status(HttpStatus.FORBIDDEN).build();
    }
}

这种方法允许你对特定的路径或全局路径禁用OPTIONS方法。

在spring boot应用程序中禁用HTTP选项方法

、、

我在spring boot应用程序上开发了rest API。API只接受GET和POST，但在使用OPTIONS方法请求时，API会响应200状态(而不是405)。响应：Public: OPTIONS, TRACE, GET, HEAD, POST 需要禁用OPTIONS方法。

浏览 33提问于2017-02-21得票数 9

回答已采纳

1回答

使用URL访问注册页面时出现问题

、、

我已经开发了一个注册页面，在那里我试图通过在我的谷歌chrome上给出URL来访问该页面。URL是: localhost:8080/Registration。

浏览 1提问于2020-09-20得票数 0

6回答

在使用Spring Security Java配置时禁用基本身份验证

、、

我正在尝试使用Spring Security java配置来保护web应用程序。annotation.web.builders.HttpSecurity) @Override // @formatter:on }请注意，我使用以下

浏览 2提问于2014-09-03得票数 21

1回答

RemoteSpringApplication通向403

、、、

我可以使用重新加载编辑后的应用程序，直到我将spring security添加到我的应用程序中，@EnableWebSecurity public class WebAuthConfig extends

浏览 2提问于2018-06-18得票数 2

14回答

在spring引导应用程序中禁用spring安全性

、、、、

我有一个spring引导web应用程序，配置了spring安全性。我想暂时禁用身份验证(直到需要)。但是我仍然有一个基本的安全性，包括:在启动时生成一个默认的安全密码，并且我仍然得到HTTP身份验证提示框。-- Inherit defaults from Spring Boot --> <groupId>org.springframework.boot<&#

浏览 21提问于2016-03-29得票数 82

回答已采纳

2回答

如何在IntelliJ IDEA中禁用Spring @Value注释的值显示？

、、、

我有一个Spring项目，其中定义了Spring属性，它将自动进入@Value-annotated字段中的@Component类中。属性是在application.properties中定义的。是否有禁用此功能的首选项？我没有运气找到答案，搜索想法，喜好或在线。

浏览 6提问于2018-03-09得票数 13

回答已采纳

2回答

log4j无法在spring中创建日志文件

、、

我创建了Spring应用程序，还使用log4j创建了记录器。我已经尝试了一切可能的方法，但仍然无法生成日志文件。

浏览 0提问于2018-12-10得票数 1

回答已采纳

3回答

弹簧驱动器不提供入口点。

、

我正在尝试使用Actuator获取关于spring应用程序的额外信息。因此，我在我的依赖项中添加了以下内容： <groupId>org.springframework.boot</groupId> <&#x

浏览 1提问于2017-09-26得票数 1

回答已采纳

2回答

是否有可能阻止Spring应用程序试图连接到IBM？

、、

我有一个spring引导应用程序，它使用连接到一个IBM MessageQueue服务：我有一个侦听队列的组件类，它有以下注释来启用/禁用连接到队列：我的application.properties中还有以下属性

浏览 0提问于2019-08-09得票数 0

回答已采纳

1回答

spring cloud数据流服务器cloud foundry重定向到https

、

-1.2.3.RELEASE.jar SPRING_APPLICATION_NAME: dataflow-server SPRING_CLOUD_DEPLOYER_CLOUDFOUNDRY_DOMAIN: my-domain.io SPRING_CLOUD_

浏览 3提问于2017-09-12得票数 0

1回答

Spring Boot，CORS问题:对印前检查请求的响应未通过访问控制检查:它没有HTTP ok状态

、、、

我有一个Spring boot API rest作为服务器，我有一个angular JS前端应用程序。下面是我的spring应用程序及其配置： WebConfiguration.java： package com.example.assignment.config; implementati

浏览 42提问于2021-06-23得票数 0

回答已采纳

3回答

禁用弹簧启动执行器"health-component“和"health-component-instance”

、、、

您好，我正在使用sprinb-boot2中的致动器，具有以下属性 management.endpoints.enabled-by-default=false management.endpoint.health.enabled=true 我的目标是禁用除健康之外的所有端点。通过此配置，我禁用了除健康和获取以下端点以外的所有端点，现在使用"health", "health-component", "health-component-instance"。是否也可以<e

浏览 31提问于2019-05-08得票数 3

回答已采纳

1回答

在春季引导应用程序中禁用生产中的GraphiQL操场

、、、、

我已经在spring应用程序中添加了pom依赖项，用于使用"graphiql-spring-boot-starter-5.0.2.jar“依赖项。现在我想为生产环境禁用操场。已经尝试过使用spring引导应用程序，如下所示，但是这些选项中没有一个可以禁用GraphiQL端点。graphiql.enabled= falsedgs.graphql.graphiql.enab

浏览 4提问于2021-06-01得票数 0

2回答

无法禁用csrf Spring引导

、、、

我正在开发一个android应用程序，我使用Spring作为REST后端。我错过了什么吗？

浏览 1提问于2016-03-12得票数 1

1回答

禁用WebFlux中的HTTP缓存

、、

在Spring Boot MVC应用程序中，我以这种方式禁用HTTP：cacheInterceptor.setUseCacheControlNoStore(true);如何在SpringBoot Web

浏览 1提问于2018-09-19得票数 4

回答已采纳

1回答

Spring security x-frame-选项

、、、

我有一个spring boot web服务器，它使用httpWebSecurityAdapter。我正在尝试在我的Angular应用程序的div中显示一些网页(HTML、CSS、javascript)。如果启用X-frame，则不允许我执行此操作。我只想为特定类型的请求禁用x-frame选项。现在我把所有东西都禁用了。我想只做一个特定的网址。 http.headers().frameOptions().disable()

浏览 3提问于2020-10-09得票数 0

9回答

SpringBoot 401 UnAuthorized，即使没有外部安全性

、、、、

[/SpringJob] : Initializing Spring FrameworkServlet 'dispatcherServlet'management.security.enabled: "false" spring.autoconfigure.exclude: "org.springframework.boot</em

浏览 10提问于2017-07-21得票数 40

回答已采纳

2回答

Spring Boot 如何配置端口？

如何在Spring启动应用程序中配置端口： @EnableAutoConfiguration @RequestMapping

浏览 457提问于2017-12-25

2回答

通过Java配置禁用Spring安全性？

、、

我有一个通过Java配置使用Security的Java应用程序。所以，类似于，但是对于不使用XML的配置。相反，在这种情况下，如何完全关闭Spring安全呢？

浏览 0提问于2014-12-30得票数 5

1回答

禁用spring集成指标

、、、、

我让spring boot应用程序暴露执行器/普罗米修斯端点进行监控，management: enable: integration: false 这对我不起作用

浏览 2提问于2020-09-08得票数 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

在spring boot应用程序中禁用HTTP选项方法

1. 使用Spring Security

2. 使用自定义过滤器

3. 在Controller中处理OPTIONS

相关·内容

在spring boot应用程序中禁用HTTP选项方法

使用URL访问注册页面时出现问题

在使用Spring Security Java配置时禁用基本身份验证

RemoteSpringApplication通向403

在spring引导应用程序中禁用spring安全性

如何在IntelliJ IDEA中禁用Spring @Value注释的值显示？

log4j无法在spring中创建日志文件

弹簧驱动器不提供入口点。

是否有可能阻止Spring应用程序试图连接到IBM？

spring cloud数据流服务器cloud foundry重定向到https

Spring Boot，CORS问题:对印前检查请求的响应未通过访问控制检查:它没有HTTP ok状态

禁用弹簧启动执行器"health-component“和"health-component-instance”

在春季引导应用程序中禁用生产中的GraphiQL操场

无法禁用csrf Spring引导

禁用WebFlux中的HTTP缓存

Spring security x-frame-选项

SpringBoot 401 UnAuthorized，即使没有外部安全性

Spring Boot 如何配置端口？

通过Java配置禁用Spring安全性？

禁用spring集成指标

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐