- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
阅读各种文档(例如 w3c CORS ),我不得不说 OPTIONS
似乎根本没有得到很好的记录。
我想知道我的 REST 服务器是否做对了,如果客户端试图访问一个被禁止的连接点(它是否存在并不总是重要的,尽管有时服务器可能会返回 404。)
不过,OPTIONS
文档似乎并未推断出这样的返回码是有效的。
我找到了 this stackoverflow Q/A接受的答案似乎表明我们可以返回任何错误代码。
我认为在不允许用户时允许 OPTIONS
通过将是一个安全漏洞。同时,OPTIONS
定义了 Access-Control-Allow-Credentials
header ,如果返回 403,我看不出如何使该 header 有用在这样的连接点上。 (换句话说,对我来说这听起来很矛盾。)
最佳答案
简短回答:如果您确实希望 OPTIONS 响应对支持 CORS 的服务器有用,那么您不应该仅仅因为用户未登录就返回 403。
详细信息:
服务器为 OPTIONS
请求返回 403
永远不会无效。 CORS 协议(protocol)不要求您的服务器为 OPTIONS
请求返回 2xx
成功响应。但是,如果您的服务器没有为特定 URL 的 OPTIONS
请求返回 2xx
,则 CORS 预检 OPTIONS
对该 URL 的请求将失败。因此,如果这确实是您想要发生的事情,那么用 403
响应就可以了——用 405
或 响应也可以501
或任何其他响应代码可能具有适合您的特定情况的含义。
但请务必记住,CORS 协议(protocol)要求浏览器永远不要将身份验证凭据作为 CORS 预检 OPTIONS
请求的一部分发送。因此,如果您的服务器配置为需要身份验证才能使 OPTIONS
请求产生 2xx
成功响应,那么来自浏览器的所有 CORS 预检将在 100% 的时间内失败.换句话说,您要确保所有从在浏览器中运行的前端 JavaScript 代码发送到服务器并添加自定义响应 header (例如,Content-Type
或 Authorization
header ),以便触发预检。
我不知道用 2xx
响应未经身份验证的 OPTIONS
请求(来自不允许的用户)可能会出现任何特定的安全漏洞。这不允许用户从您的服务器获取任何信息,除了您有意选择放入您为响应 OPTIONS
请求而发送的响应 header 中的任何信息。当然,它不会阻止您要求对 GET
或 POST
或任何其他方法进行身份验证。但就 CORS 协议(protocol)而言,这是您的服务器指示它在来自前端 JavaScript 的请求中允许哪些方法和请求 header 的唯一方式。
另请注意:当前主动维护的 CORS 要求在 Fetch 规范中定义 https://fetch.spec.whatwg.org . https://w3.org/TR/cors规范已过时,不再维护,不应用于任何用途(参见 https://w3.org/2017/08/16-webappsec-minutes.html#item03 和 https://stackoverflow.com/a/45926657/441757 的答案)。
我不知道为什么 https://w3.org/TR/cors规范尚未明确标记为过时,但我会尽力确保它尽快被标记为过时。
关于rest - 当当前用户禁止连接点时,我的服务器是否应该为 HTTP OPTIONS 方法返回 200?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54414734/
我正在尝试在Elasticsearch中返回的值中考虑地理位置的接近性。我希望近距离比某些字段(例如legal_name)重要,但比其他字段重要。 从文档看来,当前的方法是使用distance_fea
我是Elasticsearch的初学者,今天在进行“多与或”查询时遇到问题。 我有一个SQL查询,需要在Elastic中进行转换: WHERE host_id = 999 AND psh_pid =
智能指针应该/可以在函数中通过引用传递吗? 即: void foo(const std::weak_ptr& x) 最佳答案 当然你可以通过const&传递一个智能指针。 这样做也是有原因的: 如果接
我想执行与以下MYSQL查询等效的查询 SELECT http_user, http_req_method, dst dst_port count(*) as total FROM my_table
我用这两个查询进行测试 用must查询 { "size": 200, "from": 0, "query": { "bool": { "must": [ { "mat
我仍在研究 Pro Android 2 的简短服务示例(第 304 页)同样,服务示例由两个类组成:如下所示的 BackgroundService.java 和如下所示的 MainActivity.j
给定标记 like this : header really_wide_table..........................................
根据 shouldJS 上的文档网站我应该能够做到这一点: ''.should.be.empty(); ChaiJS网站没有使用 should 语法的示例,但它列出了 expect 并且上面的示例似乎
我在 Stack Overflow 上读到一些 C 函数是“过时的”或“应该避免”。你能给我一些这种功能的例子以及原因吗? 这些功能有哪些替代方案? 我们可以安全地使用它们 - 有什么好的做法吗? 最
在 C++11 中,可变参数模板允许使用任意数量的参数和省略号运算符 ... 调用函数。允许该可变参数函数对每个参数做一些事情,即使每个参数的事情不是一样的: template void dummy(
我在我从事的项目之一上将Shoulda与Test::Unit结合使用。我遇到的问题是我最近更改了此设置: class MyModel :update end 以前,我的(通过)测试看起来像这样: c
我该如何做 or使用 chai.should 进行测试? 例如就像是 total.should.equal(4).or.equal(5) 或者 total.should.equal.any(4,5)
如果您要将存储库 B 中的更改 merge 到存储库 A 中,是否应该 merge .hgtags 中的更改? 存储库 B 可能具有 A 中没有的标签 1.01、1.02、1.03。为什么要将这些 m
我正在尝试执行X AND(y OR z)的查询 我需要获得该代理为上市代理或卖方的所有已售属性(property)。 我只用 bool(boolean) 值就可以得到9324个结果。当我添加 bool
我要离开 this教程,尝试使用 Mocha、Supertest 和 Should.js 进行测试。 我有以下基本测试来通过 PUT 创建用户接受 header 中数据的端点。 describe('U
我正在尝试为 Web 应用程序编写一些 UI 测试,但有一些复杂的问题希望您能帮助我解决。 首先,该应用程序有两种模式。其中一种模式是“训练”,另一种是“现场”。在实时模式下,数据直接从我们的数据库中
我有一个规范: require 'spec_helper' # hmm... I need to include it here because if I include it inside desc
我正在尝试用这个测试我在 Rails 中的更新操作: context "on PUT to :update" do setup do @countdown = Factory(:count
我还没有找到合适的答案: onclick="..." 中是否应该转义 &(& 符号)? (或者就此而言,在每个 HTML 属性中?) 我已经尝试在 jsFiddle 和 W3C 的验证器上运行转义和非
import java.applet.*; import java.awt.*; import java.awt.event.*; public class Main extends Applet i
我是一名优秀的程序员,十分优秀!