【问题标题】:GET requests are being forbidden while POST requests go through fineGET 请求被禁止,而 POST 请求通过正常
【发布时间】:2013-07-21 17:33:26
【问题描述】:

在我的 Web 应用程序中,我需要调用不同的 Web 服务(由我开发/管理)以通过其余 API 启动/管理资源。 Web 服务在 tomcat6 上运行。我可以从浏览器日志中看到 POST 请求正在通过,但 GET 请求被禁止。如果我从 Web 服务本身进行相同的调用,那么我看不到任何问题。我已经为 tomcat6 定义了跨源过滤器,并在支持的方法中也提到了 GET,但问题仍然存在..

我已经在应用程序服务器级别本身的 web.xml 中以这种方式定义了跨源过滤器。我正在使用来自http://software.dzhuvinov.com/cors-filter.html 的 CORS 过滤器库。这是一个 tomcat6 服务器,过滤器在 ($TOMCAT6_HOME/conf/web.xml) 中定义如下

<filter>
    <filter-name>CORS</filter-name>
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
    <init-param>
     <param-name>cors.allowOrigin</param-name>
        <param-value>*</param-value>
    </init-param>
    <init-param>
     <param-name>cors.supportedMethods</param-name>
        <param-value>GET, POST, HEAD, PUT, DELETE, OPTIONS</param-value>
    </init-param>
    <init-param>
     <param-name>cors.supportedHeaders</param-name>
     <param-value>*</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>CORS</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

奇怪的是,webservice 正在接受 POST 调用,但对于 GET 调用,它会抛出 403 - Forbidden error 告诉“访问指定资源已被禁止”。

GET 调用的标头如下

Request URL:https://remote.vm.mycompany.com/remote/tunnel?read:c2faeb31-4147-49e8-b8d3-53d89496e5ca:0
Request Method:GET
Status Code:403 Forbidden
Request Headersview source
Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
Host:remote.vm.mycompany.com
Origin:https://ec2-184-72-200-91.compute-1.amazonaws.com
Referer:https://ec2-184-72-200-91.compute-1.amazonaws.com/
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
Query String Parametersview sourceview URL encoded
read:c2faeb31-4147-49e8-b8d3-53d89496e5ca:0:
Response Headersview source
Access-Control-Allow-Credentials:true
Access-Control-Allow-Origin:https://ec2-184-72-200-91.compute-1.amazonaws.com
Content-Length:961
Content-Type:text/html;charset=utf-8
Date:Sun, 21 Jul 2013 17:17:37 GMT
Server:Apache-Coyote/1.1

Tomcat 访问日志还显示 GET 请求已被禁止,但在任何日志中都没有提供任何线索

- - - [21/Jul/2013:17:17:37 +0000] POST /remote/tunnel?connect HTTP/1.1 200   -
- - - [21/Jul/2013:17:17:37 +0000] GET /remote/tunnel?read:c2faeb31-4147-49e8-b8d3-53d89496e5ca:0 HTTP/1.1 403   -

这是我的 servlet 代码。我正在尝试集成guacamole(HTML5 VNC 客户端作为 Web 服务)

package com.mycompany.html5remote;

import java.util.Arrays;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import net.sourceforge.guacamole.GuacamoleException;
import net.sourceforge.guacamole.net.GuacamoleSocket;
import net.sourceforge.guacamole.net.GuacamoleTunnel;
import net.sourceforge.guacamole.net.InetGuacamoleSocket;
import net.sourceforge.guacamole.protocol.ConfiguredGuacamoleSocket;
import net.sourceforge.guacamole.protocol.GuacamoleClientInformation;
import net.sourceforge.guacamole.protocol.GuacamoleConfiguration;
import net.sourceforge.guacamole.servlet.GuacamoleHTTPTunnelServlet;
import net.sourceforge.guacamole.servlet.GuacamoleSession;

public class HttpTunnel extends GuacamoleHTTPTunnelServlet {

    private Logger logger = LoggerFactory.getLogger(HttpTunnel.class);

    @Override
    protected GuacamoleTunnel doConnect(HttpServletRequest request) throws GuacamoleException {

        HttpSession httpSession = request.getSession(true);
        logger.info("Inside doConnect Method.");


        GuacamoleClientInformation info = new GuacamoleClientInformation();

        String hostname = request.getParameter("hostname");
        String protocol = request.getParameter("protocol");

        // Create socket
        GuacamoleConfiguration config = new GuacamoleConfiguration();
        config.setProtocol(protocol);
        config.setParameter("hostname", hostname);
        //config.setParameter("hostname", "ec2-184-73-104-108.compute-1.amazonaws.com");
        if("vnc".equals(protocol)){
            config.setParameter("port", "5901");
        }else if ("rdp".equals(protocol)){
            config.setParameter("port", "3389");
        }else{
            config.setParameter("port", "22");
        }

        logger.info("Set the configuration. Creating the socket connection now..");

        // Return connected socket
        GuacamoleSocket socket =  new ConfiguredGuacamoleSocket(
                new InetGuacamoleSocket("localhost", 4822),
                config, info
        );

        logger.info("Successfully created socket connection.");


        // Create tunnel from now-configured socket
        GuacamoleTunnel tunnel = new GuacamoleTunnel(socket);

        // Attach tunnel
        GuacamoleSession session = new GuacamoleSession(httpSession);
        session.attachTunnel(tunnel);
        logger.info("Done");
        return tunnel;

    }

}

GuacamoleHTTPTunnelServlet(GPL 许可)的文档是 here

我可能错过了什么?有没有其他地方可以寻找线索?请帮忙

【问题讨论】:

  • 如果可能的话,您能否附上您的控制器或 Servlet 代码?
  • @Karthikeyan 我已经更新了 servlet 代码。它是一个简单的 servlet,其中 get/post 请求在父类中定义

标签: java rest cross-domain html5-canvas tomcat6


【解决方案1】:

您是否有任何与 web.xml 中配置的 http 方法相关的安全限制?我不确定您为什么要使用单独的 api 来过滤您的请求?

【讨论】:

  • 我是新手。如果我错了,请纠正我。我已经看到,如果请求来自浏览器以外的任何东西,如果我们没有在 web 服务中定义跨源过滤器,它将不会为请求提供服务。我想要的只是能够从另一个 Web 服务器发送 GET 和 POST 请求。如果有更好的方法,请帮助我
  • 我通常看不到基于客户端的差异。它主要基于他们交谈的协议
  • CORs 过滤器在 cors.allowOrigin 没有发送 GET 请求的域时抛出 403 错误代码。
猜你喜欢
  • 1970-01-01
  • 2018-06-13
  • 2018-09-04
  • 1970-01-01
  • 1970-01-01
  • 2017-02-06
  • 1970-01-01
  • 2017-06-29
  • 1970-01-01
相关资源
最近更新 更多