CROS实现跨域时授权问题(401错误)的解决

最新推荐文章于 2024-09-05 19:38:24 发布
最新推荐文章于 2024-09-05 19:38:24 发布
阅读量1.7w 收藏 4
点赞数 2
文章标签: CROS

http://www.open-open.com/lib/view/open1463878276539.html

如果我们访问的资源是不需要授权的,也就是在HTTP请求头中不包含 authentication 头那么以上做法就足够了。但是如果该资源是需要权限验证的,那么这个时候跨域请求的预检测 option 请求,由于不会携带身份信息而被拒绝 。浏览器会报出401错误。

前几天的文章 Spring通过CROS协议解决跨域问题 中提到了如何解决跨域问题的基本思路,解决了跨域请求时浏览器403错误。

Response to preflight request doesn't pass access control check:
No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'null' is therefore not allowed access. 
The response had HTTP status code 403

401错误信息如下:

Failed to load resource:
the server responded with a status of 401 (Unauthorized)
XMLHttpRequest cannot load http://localhost/api/test.
Response for preflight has invalid HTTP status code 401

既然知道了问题的原因,答案也就很容易得出: 对需要进行跨域请求的资源(api),当服务端检测到是 OPTONS 请求时候统统放行,给出HTTP.OK(200)的状态和必要的响应头,哪怕它是不带身份信息的 。

这个问题既可以通过编写对应的后端代码实现,也可以通过设置服务器配置文件实现。也就是如何设置响应头和返回200状态码的办法了。

Spring+Shrio的解决方案

shiro中可以在自己实现的身份验证filter中加入以下代码:

@Override
  protected boolean preHandle(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
      HttpServletRequest request = (HttpServletRequest) servletRequest;
      HttpServletResponse response = (HttpServletResponse) servletResponse;
      if(request.getMethod().equals(RequestMethod.OPTIONS.name()))
      {
          response.setStatus(HttpStatus.OK.value());
          return false;
      }
      return super.preHandle(request, response);
  }

shiro中AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等,也是我们一般自定义权限验证时候的一个父类,我们通过重写他的 onPreHandle 方法判断是否是 option 请求,如果是则设置相应状态,(响应头已经在之前文章中通过filter配置过了)返回false表示该拦截器实例已经处理了,将直接返回即可。

Tomcat配置

需要修改tomcat的全局web.xml文件在 CATALINA_HOME/conf 下,加入以下配置。

<filter>
       <filter-name>CorsFilter</filter-name>
       <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
     </filter>
     <filter-mapping>
       <filter-name>CorsFilter</filter-name>
       <url-pattern>/*</url-pattern>
     </filter-mapping>

Nginx配置

add_header 'Access-Control-Allow-Methods' 'GET,OPTIONS,PUT,DELETE' always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Origin' '$http_origin' always;
add_header 'Access-Control-Allow-Headers' 'Authorization,DNT,User-Agent,Keep-Alive,Content-Type,accept,origin,X-Requested-With' always;

if ($request_method = OPTIONS ) {
    return 200;
}

Apache配置

Header always set Access-Control-Allow-Origin "http://waffle"
Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS"
Header always set Access-Control-Allow-Credentials "true"
Header always set Access-Control-Allow-Headers "Authorization,DNT,User-Agent,Keep-Alive,Content-Type,accept,origin,X-Requested-With"

RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]

js请求示例

请求时候需要加上 Authorization 和 Content-Type 头。

$http({
  method: 'POST',
  url: scope.webdav.url,
  withCredentials: true,
  headers: {
    Authorization: 'Basic ' + btoa(user + ':' + password),
    'Content-Type': 'application/vnd.google-earth.kml+xml; charset=utf-8'
  },
  data: getKml()

})
EpisodeOne
关注
Nginx配置cros跨域以及遇到401响应的问题
yicixin's blog
09-02 2万+
nginx配置cros跨域以及遇到401、500响应的问题 这是我Nginx的server配置: server { listen 80; server_name DataAnalysis; location / { if ($request_method = 'OPTIONS'){ add_header 'Acce...
Spring MVC通过CROS协议解决跨域问题
kai1992_zhang的博客
06-30 2055
现在接手学校网络中心的一个项目,根据团队成员的实际情况以及开发需要,老师希望做到前后端完全分离。后台使用java提供restful API 作为核心,前台无论PC或者移动端可以共用一个核心。前期解决了哦oauth2,作为授权机制等问题,本以为大业将成。(最近打算详细介绍一下机遇Spring sercurity 实现oauth2的解决方案)结果又出现了一个跨域问题,让我们踩了一个大坑,记录在此,以绝
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 2783
解决SpringBoot整合Shiro 跨域问题及前端报错401问题解决——亲测有效!
测试人必看,小程序常见问题
最新发布
NHB234567的博客
09-05 1232
小程序是一种轻盈的存在,用户无需为了使用它而下载和安装。它依附于微信这个强大的平台,只需轻轻一扫或一搜,它便跃然屏上,随服务。小程序为我们带来更多前所未有的惊喜和便利,以下分享关于小程序相关的热门问题
SpringSecurity自定义过滤器返回401导致前端Axios报错且禁止跨域的坑
qq_35359663的博客
08-29 982
但是问题就出现在我们自定义的过滤器JwtTokenFilter上,在这个过滤器里面会进行Token的校验,会给前端响应401或者403等。AxiosError获取不到response是因为Axios会在禁止跨域候不允许获取response。只要解决跨域问题就可以了。所以最终的解决方法是将自定义的JwtTokenFilter的顺序放置CorsWebFilter之后。当响应401或者403的候,请求就在此结束了,但此并未设置CORS相关的响应头。前端使用的是Vue3+Axios1.4。
如何在跨域请求中允许带入原网站的cookie(401:not authorizated)
刹那的博客
02-09 3514
博主在项目开发中,遇到一个问题,在当前网页,发送一个跨域请求,可是浏览器给我报401:not authorizated。一开始以为是我写的http请求没有带入一些身份验证信息,后来仔细研究了下,此跨域请求没有带包含认证信息的cookie,可是我看了项目中别的http请求压根没有单独去设置这种cookie。 我又看了下Chrome—》 DevTools—》application—》Cookies,发
浏览器跨域问题
m0_59429189的博客
08-22 308
如果出现跨域问题,不是同一端口,不是同一host等会出现跨域401问题解决方法,1 安全模式的浏览器 2在original里配置对应url。
Tomcat :“localhost:8080”报错401Unauthorized
韩小兔修媛史的博客
09-03 2676
总结一下第一次遇到的Unauthorized:401错误,其实呢很简单的一个错: 运行tomcat的候,当我输入localhost:8080,弹出一个提示框: 需要用户名密码登录,也就是没有访问权限,点击取消: 报错401Unauthorized 分析 任何客户端 ( 例如您的浏览器) ,都需要通过以下循环:从站点的 IP 名称 ( 即您站点的网址-URL, 不带起始的 ‘http://’) 获得一个 IP 地址。这个对应关系 ( 即由 IP 名称向 IP 地址转换的对应关系 ) 由域名服务器 (
CORS解决跨域问题(及Nginx配置)
拾年一剑 的专栏
08-30 4835
文章目录概念解决办法简单请求非简单请求配置nginxJava里参考Java 测试前端测试 概念 跨域: 同域:域名(父域名和子域名都相同),端口,协议都相同。 跨域:非同域的请求。 跨域指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器对JavaScript 施加的安全限制。 浏览器在执行脚本的候,都会检查这个脚本属于哪个页面,即检查是否同源,只有同源的脚本才会被执行;而非同源的脚本在请求数据的候,浏览器会报一个异常,提示拒绝访问。 注意: 跨域不是请求发不出去,而是服务端
html5 webgl 图片跨域,跨域图片资源权限(CORS enabled image)
weixin_39846289的博客
06-04 613
HTML 规范文档为 images 引入了 crossorigin 属性, 通过设置适当的头信息 CORS, 可以从其他站点加载 img 图片, 并用在 canvas 中,就像从当前站点(current origin)直接下载的一样.crossorigin 属性的使用细节, 请参考CORS settings attributes.什么是 “被污染的(tainted)” canvas?尽管没有COR...
vue开发:vue-cli+axios解决跨域问题
Generon的博客
10-26 3794
1、首先axios不支持vue.use()方式声明使用,看了所有近乎相同的axios文档都没有提到这一点  建议方式 在main.js中如下声明使用 import axios from 'axios'; Vue.prototype.$axios=axios; 那么在其他vue组件中就可以this.$axios调用使用1234 2.小小的提一下vue cli脚手架前端调后端数据接口候的本
CORS跨域漏洞简析
Alexz__的博客
04-18 2190
1,什么是CORS 2,CORS漏洞简析及POC 3,基于wordpress5.2.4的CORS漏洞复现 壹 什么是CORS 想了解CORS先要搞清楚浏览器的同源策略 同源策略(Same Origin Policy) 是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的...
rabbitmq主页登录报错main.js:1263 Failed to load resource: the server responded with a status of 401
weixin_71635653的博客
08-14 556
问题:rabbitmq在网页登录显示Login failed。f12查看问题是发现报错401解决:查阅资料后发现需要再管理员的基础上再进一步给与更高的权限才能在网页登录rabbitmq主页。显示我登录的账号为未授权,但实际上在Lunix中已经操作授权为管理员。最后我们在刷新界面登陆就成功啦!步骤1:创建你的账号密码。步骤2:给与账号管理员角色。步骤3:设置为用户最高权限。
Failed to load resource: the server responded with a status of 403 () No ‘Access-Control-Allow-Orig
Kaaaakaki的博客
03-07 1279
1.controller上没加 @CrossOrigin注解 解决跨域问题 2. 访问路径有错 仔细检查 controller中的路径 前端api路由中的路径 nginx配置文件中的路径 3. 后端动了代码之后没有重新启动
一次跨域请求出现 OPTIONS 请求的问题解决方法
weixin_33953249的博客
08-26 3625
问题背景 浏览器从一个域名的网页去请求另一个域名的资源,域名、端口、协议任一不同,都是跨域 在前后端开发过程经常会遇到跨域问题。网上也都有解决方案。 写这篇文章,我们碰到的一个场景是:要给s系统做一个扩展,前端的html、js放在s系统里,后端需要做一个单独的站点N.B.com。这就导致了跨域问题,大多数候 前后端用一个CORS方案 解决跨域问题就可以了。但是我这次有点特别。 前端这边是...
【原创】OPTIONS请求之跨域请求被阻止(原因:CORS预检通道未成功)解决方案 超神!牛逼!
RubyXun's-Blog
06-02 4691
前后端交互:OPTIONS请求跨域失败问题
403 Invalid CORS request 跨域问题
qq_16815191的博客
05-18 1313
跨域问题是浏览器对于ajax请求的一种安全限制: 一个页面发起的ajax请求,只能是与当前页面域名相同的路径, 这能有效的阻止跨站攻击。2).域名相同,端口不同: www.country.com:8080 , www.country.com:8081。3).二级域名不同: a.country.com , b.country.com。1).域名不同: www.baidu.com , www.google.com。CORS是一种规范化的跨域请求解决方案,安全可靠。四. 跨域问题是怎么来的。
HTTP代理出现401错误的原因及解决办法
syhttp的博客
08-16 1万+
HTTP代理出现401 Unauthorized错误代码通常表示请求需要进行身份验证,但请求未提供有效的身份验证信息。文章分析了出现401错误代码的原因及解决方法。
js报错:Failed to load resource: the server responded with a status of 404 (Not Found):
热门推荐
老衲的少女心i~
04-07 14万+
报错: 报错截图: 文字提醒: Failed to load resource: the server responded with a status of 404 (Not Found) :8020/favicon.ico:1 翻译: 加载资源失败:服务器响应404 (Not Found):8020/favicon.ico:1 解决方法: 经常会遇见这个问题,在我自己写js的候。 ...
CROS怎么解决跨域
06-11
CORS解决了JavaScript在浏览器中受限于同源策略,无法直接访问其他域资源的问题。 CORS主要通过服务器响应头部来控制允许哪些源进行跨域请求,以下几个关键的CORS头字段: 1. `Access-Control-Allow-Origin`:指定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值