- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
阅读各种文档(例如 w3c CORS ),我不得不说 OPTIONS
似乎根本没有得到很好的记录。
我想知道我的 REST 服务器是否做对了,如果客户端试图访问一个被禁止的连接点(它是否存在并不总是重要的,尽管有时服务器可能会返回 404。)
不过,OPTIONS
文档似乎并未推断出这样的返回码是有效的。
我找到了 this stackoverflow Q/A接受的答案似乎表明我们可以返回任何错误代码。
我认为在不允许用户时允许 OPTIONS
通过将是一个安全漏洞。同时,OPTIONS
定义了 Access-Control-Allow-Credentials
header ,如果返回 403,我看不出如何使该 header 有用在这样的连接点上。 (换句话说,对我来说这听起来很矛盾。)
最佳答案
简短回答:如果您确实希望 OPTIONS 响应对支持 CORS 的服务器有用,那么您不应该仅仅因为用户未登录就返回 403。
详细信息:
服务器为 OPTIONS
请求返回 403
永远不会无效。 CORS 协议(protocol)不要求您的服务器为 OPTIONS
请求返回 2xx
成功响应。但是,如果您的服务器没有为特定 URL 的 OPTIONS
请求返回 2xx
,则 CORS 预检 OPTIONS
对该 URL 的请求将失败。因此,如果这确实是您想要发生的事情,那么用 403
响应就可以了——用 405
或 响应也可以501
或任何其他响应代码可能具有适合您的特定情况的含义。
但请务必记住,CORS 协议(protocol)要求浏览器永远不要将身份验证凭据作为 CORS 预检 OPTIONS
请求的一部分发送。因此,如果您的服务器配置为需要身份验证才能使 OPTIONS
请求产生 2xx
成功响应,那么来自浏览器的所有 CORS 预检将在 100% 的时间内失败.换句话说,您要确保所有从在浏览器中运行的前端 JavaScript 代码发送到服务器并添加自定义响应 header (例如,Content-Type
或 Authorization
header ),以便触发预检。
我不知道用 2xx
响应未经身份验证的 OPTIONS
请求(来自不允许的用户)可能会出现任何特定的安全漏洞。这不允许用户从您的服务器获取任何信息,除了您有意选择放入您为响应 OPTIONS
请求而发送的响应 header 中的任何信息。当然,它不会阻止您要求对 GET
或 POST
或任何其他方法进行身份验证。但就 CORS 协议(protocol)而言,这是您的服务器指示它在来自前端 JavaScript 的请求中允许哪些方法和请求 header 的唯一方式。
另请注意:当前主动维护的 CORS 要求在 Fetch 规范中定义 https://fetch.spec.whatwg.org . https://w3.org/TR/cors规范已过时,不再维护,不应用于任何用途(参见 https://w3.org/2017/08/16-webappsec-minutes.html#item03 和 https://stackoverflow.com/a/45926657/441757 的答案)。
我不知道为什么 https://w3.org/TR/cors规范尚未明确标记为过时,但我会尽力确保它尽快被标记为过时。
关于rest - 当当前用户禁止连接点时,我的服务器是否应该为 HTTP OPTIONS 方法返回 200?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54414734/
我有以下情节 require(ggplot2) dtf <- structure(list(Variance = c(5.213, 1.377, 0.858, 0.613, 0.412, 0.229,
我可以捕获算术中定义的连接点吗? 类似于: int a = 4; int b = 2; int c = a + b; 我可以创建一个切入点来捕获这些行中的任何一行吗?我可以获得什么背景信息? 我想添加
我编写了以下代码,用于使用鼠标事件添加和删除点或圆。下一步是在创建它们时用一条线将它们连接起来(创建一个多边形)。我完全卡住了,不知道从哪里开始。我正在寻找文档,但如果有人能指出正确的方向,我将不胜感
我读过 Evans、Nilsson 和 McCarthy 等书,了解领域驱动设计背后的概念和推理;但是,我发现很难将所有这些放在一个真实世界的应用程序中。缺乏完整的例子让我摸不着头脑。我找到了很多框架
有没有办法在 Python 中创建 NTFS 连接点?我知道我可以调用 junction 实用程序,但最好不要依赖外部工具。 最佳答案 自 Python 3.5 以来,_winapi 模块中有一个函数
Swing (Java 1.6.0_u25) 中的 JFileChooser 似乎不知道如何处理 NTFS 连接点或符号链接(symbolic link)。 文件选择器没有特殊处理: int rv =
这个问题在这里已经有了答案: Check if a file is real or a symbolic link (9 个回答) 关闭 5 年前。 有谁知道如何检查文件或目录是否是符号链接(sym
我是一名优秀的程序员,十分优秀!