我是跨源资源共享的新手,并试图让我的网络应用程序响应 CORS 请求。我的 web 应用程序是在 Tomcat 7.0.42 上运行的 Spring 3.2 应用程序。
在我的 web 应用程序的 web.xml 中,我启用了 Tomcat CORS 过滤器:
<!-- Enable CORS (cross origin resource sharing) -->
<!-- http://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#CORS_Filter -->
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
我的客户端(使用 AngularJS 1.2.12 编写)正在尝试访问启用了基本身份验证的 REST 端点。当它发出 GET 请求时,Chrome 首先会预检该请求,但会从服务器收到 403 Forbidden 响应:
Request URL:http://dev.mydomain.com/joeV2/users/listUsers
Request Method:OPTIONS
Status Code:403 Forbidden
Request Headers:
OPTIONS /joeV2/users/listUsers HTTP/1.1
Host: dev.mydomain.com
Connection: keep-alive
Cache-Control: max-age=0
Access-Control-Request-Method: GET
Origin: http://localhost:8000
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.107 Safari/537.36
Access-Control-Request-Headers: accept, authorization
Accept: */*
Referer: http://localhost:8000/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Response Headers:
HTTP/1.1 403 Forbidden
Date: Sat, 15 Feb 2014 02:16:05 GMT
Content-Type: text/plain; charset=UTF-8
Content-Length: 0
Connection: close
我不完全确定如何继续。默认情况下 Tomcat 过滤器 https://tomcat.apache.org/tomcat-7.0-doc/config/filter.html#CORS_Filter,接受 OPTIONS 标头来访问资源。
我认为问题在于我的资源(请求 URL)http://dev.mydomain.com/joeV2/users/listUsers http://dev.mydomain.com/joeV2/users/listUsers配置为仅接受 GET 方法:
@RequestMapping( method=RequestMethod.GET, value="listUsers", produces=MediaType.APPLICATION_JSON_VALUE)
@ResponseBody
public List<User> list(){
return userService.findAllUsers();
}
这是否意味着我必须让该方法/端点也接受 OPTIONS 方法?如果是这样,这是否意味着我必须显式地使每个 REST 端点接受 OPTIONS 方法?除了混乱的代码之外,我还很困惑它是如何工作的。据我了解,选项预检是为了让浏览器验证浏览器是否应该有权访问指定的资源。我理解这意味着我的控制器方法甚至不应该在预检期间被调用。因此,将 OPTIONS 指定为可接受的方法会适得其反。
Tomcat 是否应该直接响应 OPTIONS 请求,甚至不访问我的代码?如果是这样,我的配置中是否缺少某些内容?
