8

我正在开发一个使用嵌入式 Jetty 的项目(不幸的是,我只是“继承”了项目的服务器端,并且对 Jetty 的使用及其配置不是很熟悉)。

突然出现了一个奇怪的案例-我会尽力描述:

基于 Web 的 UI(使用 AngularJS,来自不同的域,因此使用了 CORS)发送 POST 请求以更改服务器上某些内容的状态。这在过去的某个时候有效(它最后一次使用可能是在一个月左右之前)。

昨天这停止了工作。检查 REST 调用,我看到首先发出了一个 OPTIONS 请求。POST 的内容类型是 application/json,所以根据我的阅读,这是正确的。我不确定为什么之前没有发送它 - 公司最近更新了 Chrome 版本,而旧版本没有发送预检请求,但这只是猜测。无论如何,我认为这是我的应用程序中用于为 CORS 配置 Jetty 的相关代码:

FilterHolder holder = new FilterHolder(new CrossOriginFilter());
holder.setInitParameter(CrossOriginFilter.ALLOWED_ORIGINS_PARAM,  "*");
holder.setInitParameter(CrossOriginFilter.ACCESS_CONTROL_ALLOW_CREDENTIALS_HEADER, "true");
appHandler.addFilter(holder, "/*", EnumSet.of(DispatcherType.REQUEST));

POST 请求一切正常。我可以通过使用 --disable-web-security 标志启动 Chrome 来验证这一点。没有发送任何 OPTIONS 请求,并且 POST 正常工作。

我的想法是,因为它适用于 POST,所以它不是授权或安全问题 - 只是 Jetty 没有正确配置来处理预检请求(它只返回 401)。

我找不到太多关于嵌入式 Jetty 的文档,以及哪些 CrossOriginFilter 常量在调用 setInitParameter 时用作属性键(此外,由于该方法调用的第二个参数是一个字符串,我真的不知道如何格式化值)。

我应该在 CrossOriginFilter 上设置哪些参数来处理 OPTIONS 请求?如果我在上面说了什么错误或做出了任何错误的假设,请纠正我!我在这方面的经验非常有限。

4

3 回答 3

5

Documentation for CrossOriginFilter:

http://www.eclipse.org/jetty/documentation/current/cross-origin-filter.html

Javadoc for CrossOriginFilter:

http://download.eclipse.org/jetty/stable-9/apidocs/org/eclipse/jetty/servlets/CrossOriginFilter.html

Actual Source Code: (sometimes this helps people understand too):

https://github.com/eclipse/jetty.project/blob/jetty-9.2.3.v20140905/jetty-servlets/src/main/java/org/eclipse/jetty/servlets/CrossOriginFilter.java

In short, you'll likely want to add OPTIONS to the allowed methods.

(Just like the javadoc says)

FilterHolder holder = new FilterHolder(new CrossOriginFilter());
holder.setInitParameter(CrossOriginFilter.ALLOWED_METHODS_PARAM, "GET,POST,HEAD,OPTIONS");
appHandler.addFilter(holder, "/*", EnumSet.of(DispatcherType.REQUEST));

Now, to address another bug you have ...

This does nothing ...

holder.setInitParameter(CrossOriginFilter.ACCESS_CONTROL_ALLOW_CREDENTIALS_HEADER,
  "true");

That is not an init parameter key. (In fact that is a header name constant for the Access-Control-Allow-Credentials) if you want to allow credentials, then do as the javadoc says.

holder.setInitParameter(CrossOriginFilter.ALLOW_CREDENTIALS_PARAM, "true");
于 2014-09-24T17:59:05.433 回答
1

我通过对 FilterHolder 使用以下配置解决了这个问题:

FilterHolder cors = new FilterHolder(CrossOriginFilter.class);
cors.setInitParameter(CrossOriginFilter.ALLOWED_ORIGINS_PARAM, "*");
cors.setInitParameter(CrossOriginFilter.ACCESS_CONTROL_ALLOW_ORIGIN_HEADER, "*");
cors.setInitParameter(CrossOriginFilter.ALLOWED_METHODS_PARAM, "OPTIONS,GET,POST,HEAD");
cors.setInitParameter(CrossOriginFilter.ALLOWED_HEADERS_PARAM, "X-Requested-With,Content-Type,Accept,Origin,Cache-Control");
cors.setInitParameter(CrossOriginFilter.CHAIN_PREFLIGHT_PARAM, "false");

Chrome 会发送一个“Cache-Control”标头,如果您的 CORS 过滤器不允许使用此标头,则不会使用正确的标头响应 OPTIONS 请求。大多数CrossOriginFilter在线示例不包含此标题。

您可以选择设置CHAIN_PREFLIGHT_PARAMfalse(默认为true)。如果将其设置为false,过滤器将响应请求而不将请求发送到 Servlet。如果您想自己处理 OPTIONS 请求,则不需要设置此参数。

于 2017-09-24T23:23:45.233 回答
-2

更新:我完全尝试了您的代码,但我在上下文处理程序上添加了过滤器,而不是在应用程序上。它以这种方式工作。

        FilterHolder holder = new FilterHolder(new CrossOriginFilter());
    holder.setInitParameter(CrossOriginFilter.ALLOWED_ORIGINS_PARAM,  "http://localhost:8100");
    holder.setInitParameter(CrossOriginFilter.ACCESS_CONTROL_ALLOW_CREDENTIALS_HEADER, "true");

    contextHandler.addFilter(holder, "/*", EnumSet.of(DispatcherType.REQUEST));
于 2014-09-25T04:09:55.497 回答