- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我对它的工作原理有一个大概的了解。如果请求的“origin” header 有效(允许),我将返回相同的“ORIGIN”值
但我不知道:
(更多详细信息,因为“当请求的凭据模式为‘include’时,响应中‘Access-Control-Allow-Origin’ header 的值不能是通配符‘*’,”所以我需要 ORIGIN将请求中的值放回到响应中。
如果 ORIGIN 不允许,我应该返回什么?
根本不包含 Access-Control-Allow-Origin header ?
或 setHeader("Access-Control-Allow-Origin", ""),或 setHeader("Access-Control-Allow-Origin", "null")?
public class CORSResponseFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {
MultivaluedMap<String, Object> headers = responseContext.getHeaders();
String origin = requestContext.getHeaderString("Origin");
String origin = requestContext.getHeaderString("Origin");
URL originUrl = null;
try {
if (StringUtils.hasText(origin)) {
originUrl = new URL(origin);
Pattern hostAllowedPattern = Pattern.compile("(.+\\.)*mydomain\\.com", Pattern.CASE_INSENSITIVE);
if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
headers.add("Access-Control-Allow-Origin", origin);
} else {
headers.add("Access-Control-Allow-Origin", "");
}
headers.add("Vary", "Origin");
}
headers.add("Access-Control-Allow-Credentials", "true");
headers.add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
headers.add("Access-Control-Allow-Headers",
最佳答案
For the actual request following the OPTIONS request, do I need to include the exact same Access-Control-Allow-Origin header that I returned to the client for the preflight request?
是的 - 也就是说,如果您发送回实际的原始值而不是“*
”通配符,并且该原始值是导致 OPTIONS
请求的原因成功。因为如果您发送回的非通配符原始值与 OPTIONS 成功的值不同,则会导致浏览器阻止客户端代码访问响应(因为实际的原始值不匹配) )。
Should the server code only need to do this when there is an "ORIGIN" header present in the actual request?
是的,因为当浏览器中运行的前端 JavaScript 代码使用 XHR 或 Fetch API 或某些 JavaScript 库中的 Ajax 方法发出跨源请求时,浏览器总是添加一个 Origin
header 的请求。 Access-Control-Allow-Origin
仅由浏览器使用。
因此,在这种情况下,将 Access-Control-Allow-Origin
发送回未在请求中发送 Origin
的非浏览器工具是没有意义的,这只是您发送出去的浪费的字节。
当然,有人可以使用curl
或任何非浏览器工具向服务器发送请求,并手动向请求添加Origin
header 。但这没关系 - 在这种情况下,他们得到的响应与您发送到浏览器的响应相同。所以这实际上对测试很有帮助。
What should I return if the ORIGIN is not allowed?
not including the Access-Control-Allow-Origin header at all?
是的。对于这些情况,根本不要发回 Access-Control-Allow-Origin
响应 header 。这就是缺少 header 的语义:如果服务器没有发送 Access-Control-Allow-Origin
响应 header ,则意味着服务器没有选择允许来自正在运行的前端代码的跨源请求浏览器,因此应用默认的同源策略。
也就是说,通过不发送 Access-Control-Allow-Origin
响应 header ,服务器告诉浏览器:“请照常使用默认同源策略并禁止访问来自发送此请求的源的所有前端 JavaScript 代码的响应。”
or setHeader("Access-Control-Allow-Origin", ""),
不,永远不需要发回这样的空值。这并没有什么特别的意义。
or setHeader("Access-Control-Allow-Origin", "null")?
绝对不要这样做。在很多情况下,浏览器会发送值为 null
的 Origin
header ,除非您有意允许所有带有 Origin: null
的请求要访问服务器的响应,请不要这样做。
有关详细信息,请参阅答案的当浏览器必须在内部将 origin 设置为将被序列化为 null
的值时 When does Firefox set the Origin header to null in POST requests?
关于cors - 我是否应该在 OPTIONS 请求之后的实际请求中将任何 Access-Control-Allow-Origin header 发送到不允许的来源?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46086997/
Yii::$app->runAction('new_controller/new_action', $params); 我相信这可以用来从另一个 Controller 调用 Controller Ac
这个问题类似于 this ,但我需要访问父成员(不是控制)。我不知道是否可以不使用依赖注入(inject)。 例如,我有一个父级,有一个成员调用用户,我需要从子 Controller 访问用户。 最佳
我有包含 2 个布局的根布局:- 选项面板- 绘制区域 我正在尝试的是访问 OptionsPaneController 中的 DrawAreaController 以调用其绘制方法。下面是 Optio
我的应用程序的 View Controller 层次结构设置如下: UIViewController | UITabBarController | UINavigationCo
我的应用程序的 View Controller 层次结构设置如下: UITabBarController | UINavigationController | | |
当我第一次为我目前在 Storyboard 中开发的应用程序创建基础布局时,我分两步完成: 选择我的 View Controller 并使用 Editor->Embed In->Navigation
设计要求: 显示用户可以选择的项目列表 选择一个项目后,使用后退按钮将用户带到一个新 View 。新 View 应在底部包含第一个屏幕中不存在的选项卡列表 单击选项卡中的项目时,应出现一个带有后退按钮
将父 Controller 设置为“parentCtrl as vm”,并将子 Controller 设置为“childCtrl as vmc”,以避免名称冲突,并且效果良好。 如何在子 Contro
我已经阅读了一些答案,例如关闭当前的 ViewController,但我的情况有所不同,因为我正在展示另一个 ViewController。 虽然我无法访问它的属性,但此代码显示了带有导航 Contr
如我所见,如果我们要实例化一个Model(例如,名为Post),我们只需调用: $post = new Post(); 现在,我还想实例化一个Controller(例如,名为Post,并为此 Cont
我已经疯狂地在整个网络上搜索解决我的问题的方法,但目前还没有。我的问题是我必须检查是否在 HTTP 请求中获得特定文本,该请求在一个 while 循环中,如果我这样做了,那么我应该离开循环并继续线程,
我想用this.get('controllers.pack.query');要得到App.PackQueryController在 App.PackController ,但失败了。 我认为问题是 E
我刚开始使用 Laravel。当我使用 codeigniter 或 zend 框架时,我可以将我的 Controller 组织到一个单独的目录中。例如,我可以创建“user/permission.ph
在 emberjs 前 2 我们可以从另一个 Controller 访问 Controller 或 Controller 中的任何方法 以下方式: App.get('router').get('nav
这可能是非常简单的实现,但我是 iOS 编程的新手,我似乎被卡住了。 所以,基本上,我有一个选项卡式应用程序。我决定除了标签栏之外还需要一个导航栏。为此,我放置了标签栏 Controller ,然后添
我有这个列表 Controller , define([ 'jquery', 'app' ], function ($,app) { app.controller("ListC
我有 3 个 Controller :RootController、FirstController 和 SecondController。我想从 RootController -> FirstCont
我有以下 Controller : /controllers/api/base_controller.rb /controllers/api/v1/articles_controller.rb 当为文
我是 Angular JS 的新手,尝试在另一个 Controller 中调用一个 Controller ,但出现以下错误。 ionic.bundle.js:21157 TypeError: $con
我有一个标签栏 Controller 和它的 3 个 child ,我还有另一个 View ,我制作了一个从 child 到 View Controller 的自定义转场,还有一个从 View Con
我是一名优秀的程序员,十分优秀!