为什么 Chrome 和 Firefox 使用基本身份验证的 CORS ajax 调用的行为不同?

【问题标题】:Why Chrome and Firefox have not the same behaviour with CORS ajax call with basic auth?为什么 Chrome 和 Firefox 使用基本身份验证的 CORS ajax 调用的行为不同?
【发布时间】:2016-01-06 06:57:45
【问题描述】:

对于上下文,我正在尝试跨站点调用一个 API,该 API 需要用户使用基本身份验证进行身份验证。 为 API 提供服务的 Tomcat (7.0.43) 设置为允许通过身份验证进行跨域调用。

我正在使用 jquery.ajax,传递以下选项:

xhrOtpions = {
        url: "http://localhost:8080/api/v1/ressource",
        dataType: 'json',
        username: "user",
        password: "pass",
        xhrFields: {
          withCredentials: true
        }
      }

使用 Chrome (45),请求成功,使用 Firefox (41),不发送请求,错误消息为 Access to restricted URI denied

为了在 Firefox 上进行调用,我更改了选项以应用我从相关 jquery 问题on github 中读取的内容:

xhrActiveBuilds = {
        url: "http://localhost:8080/api/v1/ressource",
        dataType: 'json',
        username: "user",
        password: "pass",
        xhrFields: {
          withCredentials: true
        },            
        beforeSend: function (xhr) {
          xhr.setRequestHeader ("Authorization",  "Basic <encoded_credentials>")
        }
      }

这对 FF 没有任何改变,仍然是同样的错误。 在 Chrome 上,现在发送了一个预检 OPTIONS 请求,该请求失败并显示 403 禁止响应代码。

Tomcat服务器的CORS过滤器配置下方:

 <filter>
    <filter-name>CorsFilter</filter-name>
      <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
    <init-param>
      <param-name>cors.allowed.origins</param-name>
      <param-value>http://localhost:1081</param-value>
    </init-param>
    <init-param>
      <param-name>cors.allowed.methods</param-name>
      <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
    </init-param>
    <init-param>
      <param-name>cors.allowed.headers</param-name>
      <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
    </init-param>
    <init-param>
      <param-name>cors.exposed.headers</param-name>
      <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials,Access-Control-Allow-Authorization</param-value>
    </init-param>
    <init-param>
      <param-name>cors.support.credentials</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>cors.preflight.maxage</param-name>
      <param-value>10</param-value>
    </init-param>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

【问题讨论】:

  • “在 Chrome 上,现在发送了一个预检 OPTIONS 请求,但由于 403 禁止响应代码而失败” 修复此问题,两个浏览器都可以工作。您的服务器应该支持 OPTIONS 预检请求。
  • developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
  • @KevinB tomcat 服务器已经配置为允许 OPTIONS 请求: cors.allowed.methodsGET,POST ,HEAD,OPTIONS,PUT
  • 那么为什么在发送选项请求时它会在 chrome 中为您提供 403 呢?显然某些服务器端配置不正确。或者您没有发送服务器所期望的内容。我们都无法为您调试。
  • 在设置凭据时也可能发生预检。并非所有浏览器都以相同的方式解释规范。

标签: jquery ajax google-chrome firefox cors


【解决方案1】:

我终于弄清楚了这两个问题。

  • 服务器端:我在 cors.allowed.headers 中添加了 authorization

  • 客户端:我将选项替换为:

    xhrActiveBuilds = {
  url: "http://localhost:8080/api/v1/ressource",
  dataType: 'json',
  xhrFields: { withCredentials: true },
  beforeSend: function (xhr) {
    xhr.setRequestHeader ("Authorization",  "Basic <encoded_credentials>")
  }
}

请注意,我已删除用户名和密码,因为它们导致 FF 上的请求因 jQuery 实现而失败 (see)

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2019-06-24
    • 1970-01-01
    • 2011-07-27
    • 2013-09-01
    • 2012-03-30
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode