- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我的 REST 服务部署在 Tomcat 7.0.64 ( http://localhost:8080/xxx ) 下。我使用源自 HTML 页面的 JavaScript 库调用这些服务。这些 HTML 页面由另一个来源 (http://localhost:9090/html/yyy.html) 提供。
为了启用跨源请求,在服务器上,我在 web.xml 中配置了 CORSFilter,如下所示:
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.origins</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,HEAD,OPTIONS,PUT,PATCH,DELETE</param-value>
</init-param>
<init-param>
<param-name>cors.allowed.headers</param-name>
<param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,X-CUSTOM1,X-CUSOM2,X-CUSTOM3</param-value>
</init-param>
<init-param>
<param-name>cors.exposed.headers</param-name>
<param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials,X-CUSTOM3</param-value>
</init-param>
<init-param>
<param-name>cors.support.credentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.preflight.maxage</param-name>
<param-value>10</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>
从 RequestDumper 的输出中,您可以注意到来自浏览器的预检请求已收到成功响应(200)。但是,随后的实际请求因 403 Forbidden 而失败:
预检请求和响应
http-apr-8080-exec-6 ===============================================================
http-apr-8080-exec-8 START TIME =26-Sep-2015 21:28:53
http-apr-8080-exec-8 requestURI=/xxxx/zzzz
http-apr-8080-exec-8 authType=null
http-apr-8080-exec-8 characterEncoding=null
http-apr-8080-exec-8 contentLength=-1
http-apr-8080-exec-8 contentType=null
http-apr-8080-exec-8 contextPath=/xxxx
http-apr-8080-exec-8 header=host=localhost:8080
http-apr-8080-exec-8 header=connection=keep-alive
http-apr-8080-exec-8 header=pragma=no-cache
http-apr-8080-exec-8 header=cache-control=no-cache
http-apr-8080-exec-8 header=access-control-request-method=POST
http-apr-8080-exec-8 header=origin=http://localhost:9090
http-apr-8080-exec-8 header=user-agent=Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.42 Safari/537.36
http-apr-8080-exec-8 header=access-control-request-headers=x-custom1, x-custom2
http-apr-8080-exec-8 header=accept=*/*
http-apr-8080-exec-8 header=referer=http://localhost:9090/html/yyyy.html
http-apr-8080-exec-8 header=accept-encoding=gzip, deflate, sdch
http-apr-8080-exec-8 header=accept-language=en-US,en;q=0.8,ta;q=0.6
http-apr-8080-exec-8 locale=en_US
http-apr-8080-exec-8 method=OPTIONS
http-apr-8080-exec-8 pathInfo=null
http-apr-8080-exec-8 protocol=HTTP/1.1
http-apr-8080-exec-8 queryString=null
http-apr-8080-exec-8 remoteAddr=127.0.0.1
http-apr-8080-exec-8 remoteHost=127.0.0.1
http-apr-8080-exec-8 remoteUser=null
http-apr-8080-exec-8 requestedSessionId=null
http-apr-8080-exec-8 scheme=http
http-apr-8080-exec-8 serverName=localhost
http-apr-8080-exec-8 serverPort=8080
http-apr-8080-exec-8 servletPath=/zzzz
http-apr-8080-exec-8 isSecure=false
http-apr-8080-exec-8 ------------------=--------------------------------------------
http-apr-8080-exec-8 ------------------=--------------------------------------------
http-apr-8080-exec-8 authType=null
http-apr-8080-exec-8 contentType=null
http-apr-8080-exec-8 header=Access-Control-Allow-Origin=http://localhost:9090
http-apr-8080-exec-8 header=Access-Control-Allow-Credentials=true
http-apr-8080-exec-8 header=Access-Control-Max-Age=10
http-apr-8080-exec-8 header=Access-Control-Allow-Methods=POST
http-apr-8080-exec-8 header=Access-Control-Allow-Headers=content-type,x-custom1,access-control-request-headers,accept,access-control-request-method,x-custom2,origin,x-custom3,x-requested-with
http-apr-8080-exec-8 remoteUser=null
http-apr-8080-exec-8 status=200
http-apr-8080-exec-8 END TIME =26-Sep-2015 21:28:53
http-apr-8080-exec-8 ===============================================================
实际请求和响应 - 因 403 Forbidden 而失败
http-apr-8080-exec-9 START TIME =26-Sep-2015 21:28:53
http-apr-8080-exec-9 requestURI=/xxxx/zzzz
http-apr-8080-exec-9 authType=null
http-apr-8080-exec-9 characterEncoding=null
http-apr-8080-exec-9 contentLength=0
http-apr-8080-exec-9 contentType=null
http-apr-8080-exec-9 contextPath=/xxxx
http-apr-8080-exec-9 header=host=localhost:8080
http-apr-8080-exec-9 header=connection=keep-alive
http-apr-8080-exec-9 header=content-length=0
http-apr-8080-exec-9 header=pragma=no-cache
http-apr-8080-exec-9 header=cache-control=no-cache
http-apr-8080-exec-9 header=origin=http://localhost:9090
http-apr-8080-exec-9 header=x-custom1=aaaaa
http-apr-8080-exec-9 header=x-custom2=bbbbb
http-apr-8080-exec-9 header=user-agent=Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.42 Safari/537.36
http-apr-8080-exec-9 header=accept=*/*
http-apr-8080-exec-9 header=referer=http://localhost:9090/html/yyyy.html
http-apr-8080-exec-9 header=accept-encoding=gzip, deflate
http-apr-8080-exec-9 header=accept-language=en-US,en;q=0.8,ta;q=0.6
http-apr-8080-exec-9 locale=en_US
http-apr-8080-exec-9 method=POST
http-apr-8080-exec-9 pathInfo=null
http-apr-8080-exec-9 protocol=HTTP/1.1
http-apr-8080-exec-9 queryString=null
http-apr-8080-exec-9 remoteAddr=127.0.0.1
http-apr-8080-exec-9 remoteHost=127.0.0.1
http-apr-8080-exec-9 remoteUser=null
http-apr-8080-exec-9 requestedSessionId=null
http-apr-8080-exec-9 scheme=http
http-apr-8080-exec-9 serverName=localhost
http-apr-8080-exec-9 serverPort=8080
http-apr-8080-exec-9 servletPath=/zzzz
http-apr-8080-exec-9 isSecure=false
http-apr-8080-exec-9 ------------------=--------------------------------------------
http-apr-8080-exec-9 ------------------=--------------------------------------------
http-apr-8080-exec-9 authType=null
http-apr-8080-exec-9 contentType=text/plain
http-apr-8080-exec-9 remoteUser=null
http-apr-8080-exec-9 status=403
http-apr-8080-exec-9 END TIME =26-Sep-2015 21:28:53
http-apr-8080-exec-9 ===============================================================
我使用 Chrome 作为我的浏览器。
我想知道,当预检请求成功时,实际响应是否有可能得到 403 forbidden?
Also please note that I have tested sending this same request from Chrome plugin Postman and I could get the expected response successfully without 403 error.
我经历了给出的流程:Tomcat CORSFilter flowchart .我不清楚这里出了什么问题。感谢您帮助解决问题。谢谢。
最佳答案
我遇到了完全相同的问题。解决方案实际上非常简单。
“我注意到 HTTP POST 请求以某种方式需要填充 Content-Type HTTP header 。”
尝试将 Content-Type 添加到您的 POST 请求。
关于javascript - Tomcat CORS : Preflight successful, 但实际请求因 403 禁止而失败,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32799686/
我正在尝试使用 npmpublish 命令发布包。但我每次都会收到此错误。 npm ERR! code E403 npm ERR! 403 Forbidden - PUT https://regist
我在 WAMP 上访问我的本地主机(最后是 phpmyadmin)时遇到问题。 当我输入 localhost或 http://127.0.0.1进入我的浏览器,我收到以下消息: Forbidden Y
我正在尝试发送 $ajax,并且我已经得到了它,但是我必须使用我的表单发送文件,无论是否相同,都没关系。尚未找到 csrf token ,并且出现错误。 我的 JavaScript $(doc
我有一个奇怪的问题,我试图使用请求模块废弃某些页面,但这样做时我收到 403 访问被拒绝。但我完全能够使用 Node 的curl 模块来完成此操作。但互联网上的人们认为,它比请求模块更需要性能,因为我
所以,我正在制作一个公共(public)的不和谐机器人,但我的脚本的一部分有问题。我的 kick/ban 命令是用来完成的 $ban @user 它必须在 ping 中完成。由于这是公开的,我真的很想
我在负载均衡器后面有 2 个服务器。此 LB 上配置了 SSL。将近 50 个不同的客户端能够成功连接到我的网站,除了 1 个客户端从浏览器收到禁止 (403) 消息。 经过一番调查,我发现他在代理服
1、禁止计算局部梯度 torch.autogard.no_grad: 禁用梯度计算的上下文管理器。 当确定不会调用Tensor.backward()计算梯度时,设置禁止计算梯度会减少内存消耗。
如果 Moose 的构造函数调用中有额外的参数不是属性,有没有办法死?例如,这个: package Shoe; use Moose; has 'size' => (is => 'ro', isa =
在服务器上,安装了 Nginx。 Let's Encrypt 在 www.domain.com 上运行良好,但不适用于 static.domain.com 使用 PuTTY,当我输入时:sudo le
我使用 emacs 来编辑所有内容。在我的一些 LateX 文档中,我想在编辑表格和代码时自动禁用自动填充模式。基本上,我想要两个标签,例如: %%% BEGIN NO FILL %%%
通过 Nuget,我将 WindowsAzure.Storage 升级到 8.1.1。 然后,我下载了 AzureStorageEmulator 5.1.0.0 客户端。 我的连接字符串: UseDe
Qt documentation说,信号的返回值是不可能的: Signals are automatically generated by the moc and must not be implem
编辑版本 我有一个关于 GPG 的问题,但我写了所有的过程,也许它会对某人有所帮助。 我想:禁止 GPG 命令中的密码提示。 我不想:使用 -c 选项(--对称)。 我有 2 个系统 Linux 和
现在的想法是这样的:在 Java 中为 octalIntegerLiteral我有一个规则 octalNumeral, (integerTypeSuffix optional) 但我想得到一个数字作为
我在 Python 项目中所有模块的开头使用以下内容: import setup_loggers setup_loggers是一个可以做到这一点的模块。 import语句确保无论首先加载哪个模块,记录
我刚刚下载了最新版本的 XAMPP,PHP 版本为 7.2.4。我为 HTML 表单做了一个非常简单的 PHP 验证,当我按下提交时,它会出现以下内容: Access forbidden!You do
我已经成功运行 Vagrant 大约一个星期了。昨晚我运行了 vagrant reload,现在我无法再访问我的网站。 VirtualBox 版本 4.2.16 Vagrant 版本 1.2.7 我的
我使用以下 JavaScript 代码在完成 ajax 后播放音频: $(document).ready(function () { $.ajaxSetup(
我有一个似乎可以在互联网上运行的应用程序。但我接到了一位最终用户的电话,他在使用website时遇到困难。 我要求她发送控制台错误的屏幕截图并收到以下信息: 从 stackoverflow 搜索来看,
我在尝试提交到 svn 存储库时遇到此错误: svn: MKACTIVITY of '/svn/Demo/!svn/act/e2e65cfa-...4165f': 403 Forbidden (htt
我是一名优秀的程序员,十分优秀!