问题描述
我使用 Jersey2 响应过滤器来处理来自浏览器的 CORS 请求。在这一点上,它看起来很像 Paul Samsotha 在这个问题中的那个 How to handle CORS using JAX-RS with Jersey
@Provider
public class CORSFilter implements ContainerRequestFilter,ContainerResponseFilter {
@Override
public void filter(ContainerRequestContext containerRequestContext,ContainerResponseContext containerResponseContext)
throws IOException {
if (containerRequestContext.getHeaderString("Origin") == null) {
return;
}
if (isPreflightRequest(containerRequestContext)) {
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Credentials","true");
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Headers","origin,content-type,accept,authorization");
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Methods","GET,POST,PUT,DELETE,OPTIONS,HEAD");
}
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Origin","*");
}
@Override
public void filter(ContainerRequestContext containerRequestContext) throws IOException {
if (isPreflightRequest(containerRequestContext)) {
containerRequestContext.abortWith(Response.ok().build());
return;
}
}
private static boolean isPreflightRequest(ContainerRequestContext request) {
return request.getHeaderString("Origin") != null
&& request.getmethod().equalsIgnoreCase("OPTIONS");
}
}
现在这工作得很好,直到我像这样在前端添加我自己的标头(用于授权目的)
axios.defaults.headers.common["xy"] = "example content";
@Path("/example")
@DELETE
public void example(@Context HttpHeaders headers) {
String headerContent = headers.getHeaderString("xy");
...do stuff...
}
在添加此标头的那一刻,不再为主调用执行过滤器。它仍然为预检执行,但不再为 DELETE 调用执行,这会在浏览器中触发 CORS 错误。
从 Postman 测试它可以完美地使用完全相同的标题。我打了电话,过滤器触发,一切正常。但是浏览器运行的那一刻,过滤器就不再触发了。
我也对 PUT 进行了测试,结果相同。我已经用 vanilla JS XMLHTTPRequest 对其进行了测试,结果相同。通过远程调试,我知道过滤器根本没有执行。当我删除标题时,我仍然有 OPTIONS 和 DELETE 调用,但过滤器对这两个调用都执行。我再次添加标题的那一刻,它只对 OPTIONS 调用(没有标题)执行,而不对 DELETE 调用执行。
它运行在带有 Jersey 2.27 和 Java 11 的 Tomcat 9 上。
所以我的问题是,为什么标题似乎会杀死过滤器的执行?
解决方法
您需要了解 CORS 协议的工作原理。对于简单的 CORS 请求,没有预检,非简单的 CORS 请求,进行预检请求。预检请求是在实际请求之前发出的一个 OPTIONS 请求,询问服务器是否允许请求。此请求是使用特定标头发出的,服务器应使用其自己的特定响应标头响应这些标头。我在您链接的帖子中提到了所有。我什至解释了每个标题的用途。
特别是您的问题的标头是预检请求标头 Access-Control-Request-Headers
。浏览器将发送此标头(在预检请求中),该值将列出客户端尝试设置的所有标头。服务器应使用 Access-Control-Allow-Headers
标头进行响应,该标头列出了允许从客户端发送的所有标头。您希望允许客户端发送的任何标头都应列在此响应标头的值中。例如
Access-Control-Allow-Headers: Authorization,xy
我还在代码中添加了一条注释,告诉您可能需要更改列表
response.getHeaders().add("Access-Control-Allow-Headers",// Whatever other non-standard/safe headers (see list above)
// you want the client to be able to send to the server,// put it in this list. And remove the ones you don't want.
"X-Requested-With,Authorization," +
"Accept-Version,Content-MD5,CSRF-Token,Content-Type");
请花时间阅读整篇文章并阅读我链接到的一些资源,以便您能够充分了解 CORS 协议的工作原理。
,您似乎添加了多个条件来应用过滤器。
尝试禁用以下条件:(containerRequestContext.getHeaderString("Origin") == null)
和 isPreflightRequest(containerRequestContext)
。
例如:
@Override
public void filter(ContainerRequestContext containerRequestContext,ContainerResponseContext containerResponseContext)
throws IOException {
// disable this condition.
//if (containerRequestContext.getHeaderString("Origin") == null) {
// return;
//}
// disable this condition
// it seems problemetic
// if (isPreflightRequest(containerRequestContext)) {
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Credentials","true");
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Headers","origin,content-type,accept,authorization");
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Methods","GET,POST,PUT,DELETE,OPTIONS,HEAD");
//}
containerResponseContext.getHeaders()
.add("Access-Control-Allow-Origin","*");
}