- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我对它的工作原理有一个大概的了解。如果请求的“origin” header 有效(允许),我将返回相同的“ORIGIN”值
但我不知道:
(更多详细信息,因为“当请求的凭据模式为‘include’时,响应中‘Access-Control-Allow-Origin’ header 的值不能是通配符‘*’,”所以我需要 ORIGIN将请求中的值放回到响应中。
如果 ORIGIN 不允许,我应该返回什么?
根本不包含 Access-Control-Allow-Origin header ?
或 setHeader("Access-Control-Allow-Origin", ""),或 setHeader("Access-Control-Allow-Origin", "null")?
public class CORSResponseFilter implements ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext) throws IOException {
MultivaluedMap<String, Object> headers = responseContext.getHeaders();
String origin = requestContext.getHeaderString("Origin");
String origin = requestContext.getHeaderString("Origin");
URL originUrl = null;
try {
if (StringUtils.hasText(origin)) {
originUrl = new URL(origin);
Pattern hostAllowedPattern = Pattern.compile("(.+\\.)*mydomain\\.com", Pattern.CASE_INSENSITIVE);
if (hostAllowedPattern.matcher(originUrl.getHost()).matches()) {
headers.add("Access-Control-Allow-Origin", origin);
} else {
headers.add("Access-Control-Allow-Origin", "");
}
headers.add("Vary", "Origin");
}
headers.add("Access-Control-Allow-Credentials", "true");
headers.add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
headers.add("Access-Control-Allow-Headers",
最佳答案
For the actual request following the OPTIONS request, do I need to include the exact same Access-Control-Allow-Origin header that I returned to the client for the preflight request?
是的 - 也就是说,如果您发送回实际的原始值而不是“*
”通配符,并且该原始值是导致 OPTIONS
请求的原因成功。因为如果您发送回的非通配符原始值与 OPTIONS 成功的值不同,则会导致浏览器阻止客户端代码访问响应(因为实际的原始值不匹配) )。
Should the server code only need to do this when there is an "ORIGIN" header present in the actual request?
是的,因为当浏览器中运行的前端 JavaScript 代码使用 XHR 或 Fetch API 或某些 JavaScript 库中的 Ajax 方法发出跨源请求时,浏览器总是添加一个 Origin
header 的请求。 Access-Control-Allow-Origin
仅由浏览器使用。
因此,在这种情况下,将 Access-Control-Allow-Origin
发送回未在请求中发送 Origin
的非浏览器工具是没有意义的,这只是您发送出去的浪费的字节。
当然,有人可以使用curl
或任何非浏览器工具向服务器发送请求,并手动向请求添加Origin
header 。但这没关系 - 在这种情况下,他们得到的响应与您发送到浏览器的响应相同。所以这实际上对测试很有帮助。
What should I return if the ORIGIN is not allowed?
not including the Access-Control-Allow-Origin header at all?
是的。对于这些情况,根本不要发回 Access-Control-Allow-Origin
响应 header 。这就是缺少 header 的语义:如果服务器没有发送 Access-Control-Allow-Origin
响应 header ,则意味着服务器没有选择允许来自正在运行的前端代码的跨源请求浏览器,因此应用默认的同源策略。
也就是说,通过不发送 Access-Control-Allow-Origin
响应 header ,服务器告诉浏览器:“请照常使用默认同源策略并禁止访问来自发送此请求的源的所有前端 JavaScript 代码的响应。”
or setHeader("Access-Control-Allow-Origin", ""),
不,永远不需要发回这样的空值。这并没有什么特别的意义。
or setHeader("Access-Control-Allow-Origin", "null")?
绝对不要这样做。在很多情况下,浏览器会发送值为 null
的 Origin
header ,除非您有意允许所有带有 Origin: null
的请求要访问服务器的响应,请不要这样做。
有关详细信息,请参阅答案的当浏览器必须在内部将 origin 设置为将被序列化为 null
的值时 When does Firefox set the Origin header to null in POST requests?
关于cors - 我是否应该在 OPTIONS 请求之后的实际请求中将任何 Access-Control-Allow-Origin header 发送到不允许的来源?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46086997/
我正在尝试在Elasticsearch中返回的值中考虑地理位置的接近性。我希望近距离比某些字段(例如legal_name)重要,但比其他字段重要。 从文档看来,当前的方法是使用distance_fea
我是Elasticsearch的初学者,今天在进行“多与或”查询时遇到问题。 我有一个SQL查询,需要在Elastic中进行转换: WHERE host_id = 999 AND psh_pid =
智能指针应该/可以在函数中通过引用传递吗? 即: void foo(const std::weak_ptr& x) 最佳答案 当然你可以通过const&传递一个智能指针。 这样做也是有原因的: 如果接
我想执行与以下MYSQL查询等效的查询 SELECT http_user, http_req_method, dst dst_port count(*) as total FROM my_table
我用这两个查询进行测试 用must查询 { "size": 200, "from": 0, "query": { "bool": { "must": [ { "mat
我仍在研究 Pro Android 2 的简短服务示例(第 304 页)同样,服务示例由两个类组成:如下所示的 BackgroundService.java 和如下所示的 MainActivity.j
给定标记 like this : header really_wide_table..........................................
根据 shouldJS 上的文档网站我应该能够做到这一点: ''.should.be.empty(); ChaiJS网站没有使用 should 语法的示例,但它列出了 expect 并且上面的示例似乎
我在 Stack Overflow 上读到一些 C 函数是“过时的”或“应该避免”。你能给我一些这种功能的例子以及原因吗? 这些功能有哪些替代方案? 我们可以安全地使用它们 - 有什么好的做法吗? 最
在 C++11 中,可变参数模板允许使用任意数量的参数和省略号运算符 ... 调用函数。允许该可变参数函数对每个参数做一些事情,即使每个参数的事情不是一样的: template void dummy(
我在我从事的项目之一上将Shoulda与Test::Unit结合使用。我遇到的问题是我最近更改了此设置: class MyModel :update end 以前,我的(通过)测试看起来像这样: c
我该如何做 or使用 chai.should 进行测试? 例如就像是 total.should.equal(4).or.equal(5) 或者 total.should.equal.any(4,5)
如果您要将存储库 B 中的更改 merge 到存储库 A 中,是否应该 merge .hgtags 中的更改? 存储库 B 可能具有 A 中没有的标签 1.01、1.02、1.03。为什么要将这些 m
我正在尝试执行X AND(y OR z)的查询 我需要获得该代理为上市代理或卖方的所有已售属性(property)。 我只用 bool(boolean) 值就可以得到9324个结果。当我添加 bool
我要离开 this教程,尝试使用 Mocha、Supertest 和 Should.js 进行测试。 我有以下基本测试来通过 PUT 创建用户接受 header 中数据的端点。 describe('U
我正在尝试为 Web 应用程序编写一些 UI 测试,但有一些复杂的问题希望您能帮助我解决。 首先,该应用程序有两种模式。其中一种模式是“训练”,另一种是“现场”。在实时模式下,数据直接从我们的数据库中
我有一个规范: require 'spec_helper' # hmm... I need to include it here because if I include it inside desc
我正在尝试用这个测试我在 Rails 中的更新操作: context "on PUT to :update" do setup do @countdown = Factory(:count
我还没有找到合适的答案: onclick="..." 中是否应该转义 &(& 符号)? (或者就此而言,在每个 HTML 属性中?) 我已经尝试在 jsFiddle 和 W3C 的验证器上运行转义和非
import java.applet.*; import java.awt.*; import java.awt.event.*; public class Main extends Applet i
我是一名优秀的程序员,十分优秀!