解决方法浏览器自带同源策略,不运行js发起跨域的post请求,get请求可以。
gateway解决跨域1.jsonp
2.利用nginx或者java后端,返回允许跨域
3. 特定的标签
spring:
cloud:
gateway:
globalcors:
corsConfigurations:
'[/**]':
# 建议根据域名配置。refer。
allowedOrigins: "*"
allowedMethods:
- GET
- POST
- OPTIONS
- PUT
allowedHeaders: "*"
allowCredentials: true
add-to-simple-url-handler-mapping: true
spring boot解决跨域
参考: https://blog.csdn.net/qq_31960623/article/details/118254754
注意事项一般如果使用gateway做转发,内部java如果也有做corsFilter的话,可能会导致返回的header中含有"," , 因为重复。
报错 The ‘Access-Control-Allow-Origin’ header contains multiple values “*, *”, but only one is allowed.
gateway增加filter
spring:
cloud:
gateway:
routes:
- id: dedupe_response_header_route
uri: https://example.org
filters:
- DedupeResponseHeader=Access-Control-Allow-Credentials Access-Control-Allow-Origin, RETAIN_FIRST
# 最后一个参数支持 RETAIN_FIRST(default),RETAIN_LAST,RETAIN_UNIQUE
XSS重放攻击。跨站脚本攻击
概述
解决方案通过输入
java代码对特殊的字符进行转义,如<。
//todoCSRF/XSRF 跨站请求伪造。 概述
解决方法由于浏览器的cookie是所有标签共享的,所以有可能导致cookie泄露。
DDOS/CC 拒绝服务攻击 解决方法请求里携带随机token – get所有请求都用post
硬件防火墙
带宽对冲
重放攻击 原因服务器软件做优化
解决方案请求被拦截后不断重新发起无效请求
https浏览器数据安全加密原理 https + httpdns APP数据安全 风控与人机交互 IP黑白名单认证。接口作幂等处理,同时限制同ip访问次数和频率
