理解跨域资源共享(CORS)及其安全考量
在web开发中,浏览器的同源策略(same-origin policy)是一项核心安全机制,它限制了来自一个源的文档或脚本如何与来自另一个源的资源进行交互。例如,https://a.com的脚本通常无法访问https://b.com的dom对象或cookie。然而,现代web应用常需要跨域通信,例如前端应用(运行在a.com)调用后端api(运行在b.com)。为了满足这种需求,w3c引入了跨域资源共享(cors)标准。
CORS通过在HTTP响应中添加特定的头部信息(如Access-Control-Allow-Origin),明确告知浏览器哪些源被允许访问资源。如果服务器配置了过于宽松的CORS策略,例如允许所有源(origins = "*")访问,就可能导致严重的安全漏洞。这意味着任何恶意网站都可以向您的应用发送请求并读取响应,从而绕过同源策略,窃取用户敏感数据或执行未授权操作。安全扫描工具(如Checkmarx)通常会标记这种配置为“过于宽松的CORS访问控制源策略”,提醒开发者存在潜在风险。
Spring中@CrossOrigin的配置与作用范围
Spring框架通过@CrossOrigin注解提供了便捷的CORS配置能力。这个注解可以应用于以下几个层面:
- 方法级别: 应用于控制器内的某个具体方法。
- 类级别: 应用于整个控制器类,其配置会作用于该类中的所有处理方法。
- 全局级别: 通过实现WebMvcConfigurer接口或在主应用类中配置@CrossOrigin,可以定义适用于整个应用的全局CORS策略。
当@CrossOrigin在不同级别同时存在时,其优先级遵循从局部到全局的原则:方法级别的配置会覆盖类级别的配置,类级别的配置会覆盖全局配置。如果在某个控制器方法或类上没有明确指定@CrossOrigin,则会继承全局的CORS配置。
在示例代码中,控制器类getCertificate方法上没有使用@CrossOrigin注解,但在主应用类中存在一个全局的@CrossOrigin(origins = "*", allowedHeaders = "*", methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE})配置。这意味着,即使控制器方法本身没有显式声明CORS策略,它也会默认继承并应用主应用类中定义的全局策略。由于该全局策略允许所有源(*)访问,因此Checkmarx会将其标记为安全问题。
// 示例控制器方法,未显式声明@CrossOrigin @GetMapping(produces = APPLICATION_JSON_VALUE) public ResponseEntitygetCertificate(HttpServletRequest request) { return ResponseEntity.ok(certificatePropertiesService.getCertificateDetails()); } // 主应用类中的全局CORS配置(问题根源) // @CrossOrigin(origins = "*", allowedHeaders = "*", methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE}) public class MainApplication { // ... }
解决方案:实施严格的CORS策略
解决“过于宽松的CORS策略”问题的核心在于,将允许所有源访问的通配符(*)替换为明确、受信任的源列表。同时,也应限制允许的HTTP方法和头部,以进一步增强安全性。
1. 明确指定允许的源(Origins)
这是最重要的步骤。您需要识别所有合法的、需要访问您API的前端应用或服务域名,并将它们列入白名单。
错误示例(过于宽松):
@CrossOrigin(origins = "*", allowedHeaders = "*", methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE})正确示例(限制性策略): 将origins = "*"替换为具体的域名。如果存在多个允许的源,可以使用逗号分隔。
// 允许单个特定域名
@CrossOrigin(origins = "https://yourfrontendapp.com", allowedHeaders = "Accept,Accept-Language,Content-Language,Content-Type", methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE})
// 允许多个特定域名
@CrossOrigin(origins = {"https://yourfrontendapp.com", "https://anotherapp.com"}, allowedHeaders = "Accept,Accept-Language,Content-Language,Content-Type", methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE})2. 限制允许的HTTP头部(Allowed Headers)
allowedHeaders = "*"同样存在风险,它允许客户端在跨域请求中发送任何HTTP头部。虽然不如origins = "*"严重,但为了最小化攻击面,建议只允许业务必需的头部。常见的必需头部包括Content-Type、Accept、Authorization等。
建议配置:
// 仅允许必要的头部 allowedHeaders = "Accept,Accept-Language,Content-Language,Content-Type,Authorization"
3. 限制允许的HTTP方法(Allowed Methods)
methods = {RequestMethod.GET, RequestMethod.OPTIONS, RequestMethod.POST, RequestMethod.PUT, RequestMethod.DELETE}允许了所有常见的HTTP方法。根据API的实际需求,只开放所需的方法。例如,如果某个API只提供数据读取,那么只允许GET和OPTIONS即可。
建议配置:
// 仅允许GET和OPTIONS方法
methods = {RequestMethod.GET, RequestMethod.OPTIONS}4. 应用修改的位置
通常,全局CORS配置在主应用类或实现了WebMvcConfigurer接口的配置类中定义。修改应在此处进行,以确保策略在整个应用范围内生效。
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.CorsRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addCorsMappings(CorsRegistry registry) {
registry.addMapping("/**") // 匹配所有路径
.allowedOrigins("https://yourfrontendapp.com", "https://anotherapp.com") // 明确指定允许的源
.allowedMethods("GET", "POST", "PUT", "DELETE", "OPTIONS") // 明确指定允许的HTTP方法
.allowedHeaders("Content-Type", "Authorization", "Accept") // 明确指定允许的HTTP头部
.allowCredentials(true) // 如果需要支持Cookie或HTTP认证,设置为true
.maxAge(3600); // 预检请求的缓存时间(秒)
}
}如果您的全局配置是通过直接在主应用类上使用@CrossOrigin,则需要将该注解的参数进行相应修改。
总结与最佳实践
配置CORS策略是Web应用安全的重要一环。过于宽松的配置(特别是origins = "*")会引入严重的安全漏洞,使您的应用容易受到跨站脚本攻击(XSS)和数据泄露的威胁。
核心原则:最小权限原则 始终遵循最小权限原则来配置CORS策略:
- 只允许明确受信任的源访问您的API。
- 只允许业务必需的HTTP方法。
- 只允许业务必需的HTTP头部。
- 谨慎使用allowCredentials(true),因为它允许浏览器在跨域请求中发送Cookie和HTTP认证信息,这应仅在绝对必要时启用。
通过实施这些限制性策略,您可以显著提高Spring应用的安全性,有效抵御潜在的跨域攻击,并顺利通过安全审计工具的检查。在部署任何CORS策略变更之前,务必在开发和测试环境中充分验证,确保前端应用能够正常与后端API通信。
