【前端】为什么postman可以请求成功,并且GET请求没有问题,但是POST访问却是403?

最新推荐文章于 2024-07-10 10:00:24 发布
最新推荐文章于 2024-07-10 10:00:24 发布
阅读量3.1k 收藏 34
点赞数 25
文章标签: 前端 postman ajax spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48337403/article/details/137689887
版权

向后端发起GET请求成功了,POST请求却发生了403,然而再尝试Postman发送POST请求却能成功,为什么?记录一下整体过程

问题与结论

今天和后端联调,发现了一个问题,发起的get请求没有问题,post请求都被拦截了,403forbidden,后端觉得是前端配置问题,于是用 postman发送了请求,并且成功了,这是为什么呢?
403错误
403错误

先说结论确定了前端的配置没有问题后,查看了后端代码与历史修改记录(曾经是没问题的),发现后端修改了一行代码导致的,config.addAllowedOrigin("*"),据后端所说,他们是重写了cors的拦截策略,因为安全性,所以删除了这行代码。

问题结论:没有允许非同origin下的请求

但是该行代码,同时引起了我的思考,为什么postman可以?为什么同样的GET请求可以,但是POST请求不可以?

解决过程

首先,判断并非是前端跨域问题。

在Webpack中设置反向代理通常是为了解决开发环境中的跨域请求问题。可以使用webpack-dev-server的反向代理功能来实现。且前端若配置失败,浏览器返回的错误是这样的。

浏览器跨域
于是应该是后端做了什么相关的策略。后端当时使用postman,发现并无问题。
因为之前项目是没问题的,所以去查了修改记录,所以发现是为了安全考虑,少了那一行代码。

贴上修改后的代码

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
 
@Configuration
public class CorsConfig {
    @Bean
    public CorsFilter corsFilter(){
 
        //1.添加CORS配置信息
        CorsConfiguration config = new CorsConfiguration();
        //1) 允许的域,不要写*,否则cookie就无法使用了
        // config.addAllowedOrigin("*"); //这里填写请求的前端服务器
        config.addAllowedOriginPattern("*");
        //2) 是否发送Cookie信息
        config.setAllowCredentials(true);
        //3) 允许的请求方式
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("HEAD");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("DELETE");
        config.addAllowedMethod("PATCH");
        //4) 允许的头信息
        config.addAllowedHeader("*");
 
        //2.添加映射路径,我们拦截一切请求
        UrlBasedCorsConfigurationSource configSource = new UrlBasedCorsConfigurationSource();
        configSource.registerCorsConfiguration("/**", config);
 
        //3.返回新的CorsFilter.
        return new CorsFilter(configSource);
 
    }
}

为什么GET请求可以?

首先理解,请求头中的origin是什么?

HTTP 协议中的 Origin Header 存在于请求中用于指明当前请求来自于哪个站点

经查询资料, OriginReferer头的升级版, 常用于CORS或者非GETHEAD请求(MDN 的说法有误,不是只有 POST)相关的服务端身份检验

浏览器端Origin无法手动设置

  • Origin头是浏览器保护字段,类似的有 RefererHostContent-LengthKeep-alive等,但是可以通过 nginx 代理修改。浏览器根据约定自动附加

浏览器附加Origin头的规则

  • 根据fetch说明, 只有当请求为跨域请求或者非get,head请求时都会自动附加。不可被编程,不可被编辑。get,head请求由于兼容性,故无法实现

非 CORS 情况下, Origin字段框架使用情况

  • 据我了解, 绝大部分框架都没有使用 Origin 字段, 我所待的几个公司也从未根据此值来判断

所有符合规则的资源都会包含 Origin 头?

  • 不是。例如跨域图片不会包含 Origin 头, 更多资源请查看

比如有的浏览器(IE)能够请求成功,而有的浏览器却请求失败(Chrome)。这不是因为前一个浏览器行为正确,而是因为前一个浏览器发出请求时没有带上 Origin 而后一个浏览器带上了正确的 Origin

而在服务器端,因为没有 Origin Header,所以认为这不是一次 CORS 请求,所以没有进行 CORS 校验。这也反过来要求服务端强制请求带上 Origin Header,才能进一步保证服务器的安全性。

可能当前项目后端请求中,并未校验GET(简单请求)的origin吧?因为本人只是一名前端,个人思考结果。如果有人知道具体原因,还请告知。

为什么Postman请求可以?

首先理解下同源策略

同源策略是浏览器的一个安全机制,限制了一个源(域名、协议、端口)的文档或脚本如何与来自另一个源的资源进行交互。这种限制是为了防止潜在的安全漏洞,比如跨站脚本(XSS)攻击。

但是,Postman 并不是一个浏览器,它是一个独立的工具,不受同源策略的限制。当你在 Postman 中发送请求时,它实际上是在模拟一个 HTTP 请求,并不像浏览器一样执行 JavaScript 代码。因此,Postman 可以轻松地发送请求到不同域名的服务器,并获得响应,而不会受到同源策略的约束。

而且Postman的默认请求头中,并没有Origin的参数。
在这里插入图片描述

理论上来说,如果我手动添加,非同源,是否也会失败,事实证明,的确如此。
在这里插入图片描述

code Boy
关注
  • 25
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
python爬虫返回403错误?加了请求头+代理也解决不了 >>看这
云霄IT的博客
02-15 9463
【疑惑】:使用python的requests库发起get或post请求返回403代码错误,使用postman发起请求发现状态码竟然成功了。首先排除ip问题,ip有问题的话postman访问不了。难道是headers出现了问题吗,通过对比发现也不是headers的问题。【解疑】:其实遇到这种情况大概率是遇到了“原生模拟浏览器 TLS/JA3 指纹的验证”,浏览器和postman都有自带指纹验证,而唯独requests库没有。这就让反爬有了区分人为和爬虫的突破口。2、使用 pyhttpx 库。
postmanPOST请求时参数包含参数list设置方式
08-19
Postman中,进行POST请求时,我们常常需要传递各种类型的参数,包括简单的键值对、文件、甚至复杂的JSON对象。对于包含列表或数组的参数,Postman提供了灵活的设置方式。本文将详细讲解如何在Postman中设置POST...
postman和浏览器访问正常,java代码http请求访问出现403和404
努力工作 认真玩
09-03 8901
文章目录一、出现问题的原因二、模拟浏览器访问三、以下代码出现:403参考资料 当用postman和浏览器访问的时候,能够正常获取数据,在代码调用接口的时候出现403和404错误。 一、出现问题的原因 根据访问的网站的管理员的提示,对访问的参数进行调整,模拟浏览器访问。 二、模拟浏览器访问 import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net
postman 请求接口状态码403返回空白
zhaojunjie_cc的博客
11-22 5950
情况描述 一直正常的接口,今天用postman 访问,突然就不行了,返回空白页,状态码 403。接口用浏览器请求页正常。 问题原因 请求的 Authorization type 莫名其妙发生了改变 解决方案 Authorization 的 type 选中 No Auth ...
GET请求正常,POST请求就报403跨域问题
yishengdalanrou的博客
06-19 448
​ 最近应公司要求,将CAS校验改成TOKEN验证,编写了一个拦截器,但是测试过程中,发现get请求正常返回POST请求却报403跨域问题。检查你的CORS配置文件中的allowedOrigins启动注册时是不是注册了null。
httpclient请求403
奋斗不息
04-19 1348
问题:httpclient请求对方服务器报403,用postman是可以的 原因: HttpPost request = new HttpPost(uri); request.setHeader( “User-Agent” ,“Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/50.0” ); // 设置请求头 request.setEntity(new UrlEncodedFormEntity(formPara
前端vue项目本地调用post接口403报错
qq_36424312的博客
09-03 2809
前两天开发过程中,遇到一个403报错问题。 前一天还可以正常调用,第二天启动项目后发现大片接口403报错。开始排查问题: 1、查看线上环境发现接口调用正常。 2、是用postman调用相同接口,接口调用正常。 3、相同代码,在同事本地项目调用正常。 4、403时后台日志未收到任何报错。 5、报错的都是post接口。 6、重启电脑,仍然报403。 7、删除依赖包,在重新安装,仍然403。 8、删除项目,重新clone,还是403。 9、最近未更改电脑配置。 10、询问同事,无果。
BUG解决:postman可以请求成功,但Python requests请求403
最新发布
weixin_44458771的博客
07-10 1406
使用Python的requests库对接物联数据的接口之前一直正常运行,昨天突然请求不通了,通过进一步验证发现凡是使用代码调用接口就不通,而使用postman就能调通,请求参数啥的都变。
对接接口的时候遇到一个问题-postman可以请求成功的接口httpclient请求却报403
爱吃早餐的程序员
04-16 1万+
今天遇到一个蛋疼的问题postman请求一个接口,可以通,但是用httpclient发送请求却报403,然后发现是因为在postman请求的时候自动加上了 请求头User-Agent,而httpclient里面没有设置,设置之后请求成功 import java.util.ArrayList; import org.apache.commons.httpclient.Header; import org.apache.commons.httpclient.HttpClient; import org.
postman调用接口成功,jmeter调用报错403或Non HTTP response code: org.apache.http.NoHttpResponseException
热门推荐
hcf1995的博客
01-21 1万+
jmeter调用接口报错403postman正常 1、jmeter调用一个接口,报错403,Your last request has been blocked for security purposes. Please contact Web administrator with TOP_EVENTID: <80329879> for detail reasons.,以为是因为调用的域名,不是直接调用ip地址的问题,把请求改成了调用ip地址 2、请求改成ip地址,然后出现了新的报错 Resp
解决Spring Boot Post请求中的403错误
weixin_44409748的博客
03-16 1486
解决Spring BootpostmanPost请求中的403错误
Postman模拟发送前端请求工具
08-19
Postman是一款强大的API开发、测试和文档制作工具,尤其在前端开发者和后端开发者之间进行接口交互时,它起到了桥梁的作用。这款工具可以帮助用户轻松地模拟各种HTTP请求,包括GET、POST、PUT、DELETE等,使得测试...
Postman.rar
04-28
1. **请求构造**:Postman允许用户创建各种HTTP请求,包括GET、POST、PUT、DELETE等常见的HTTP方法。用户可以在请求URL、请求头和请求体中添加自定义参数,以满足不同的API调用需求。 2. **数据管理**:在Postman中...
PostMan for linux(http请求发送 , 接口调试工具)
03-21
对于需要参数的GET请求,可以在URL的查询字符串中添加参数,或者使用“Params”选项卡来组织和管理参数。 对于POST和其他有请求体的请求PostMan提供了多种数据格式的选择,如表单数据、raw文本、JSON等。用户可以...
POSTMAN请求模拟工具
04-29
POSTMAN请求模拟工具是一款强大的API测试与开发辅助工具,它极大地简化了网络请求的创建、发送和测试过程。无论你是开发者、测试工程师还是对API有需求的用户,Postman都能帮助你高效地进行HTTP请求的模拟,理解并...
关于状态码403问题
qq_63779196的博客
03-20 231
系统鉴权框架使用的为springsecurity,今天在开发中遇到一个接口访问出现403问题,具体情况就是账号登录前可以访问,但是登录后该路径就403了,403主要为权限问题。anonymous的权限是允许匿名访问 登录之后已经有token了 所以不符合权限 只需要改为permitAll全部允许访问就好了。检查代码发现该路径为权限为anonymous,具体代码如下。经测试 改为.permitAll()就好了。
postman测试接口返回403需要登录,cookie使用
qq_36557846的博客
06-15 8349
出现的问题: 在浏览器中直接访问接口http://XX/api/runtime/sys/v1.0/userinfos?infoType=user是有返回数据的,显示正常 在postman输入中http://XX/api/runtime/sys/v1.0/userinfos?infoType=user,返回403错误 解决方法 添加cookie 效果预览 ...
在使用postman中操作api接口测试403解决方法
asdfgh0077的博客
02-01 5850
在使用postman中操作api接口测试403解决方法
前端可以正常请求接口,postman请求提示404
06-08
如果前端可以正常请求接口,但是Postman请求却提示404错误,可能是以下原因之一: 1. 接口地址不正确:请检查Postman中输入的接口地址是否正确,是否包含了正确的域名、路径和参数。 2. 接口权限问题:请检查Postman请求是否具有访问该接口的权限,比如需要登录或者需要特定的令牌才能访问。 3. 请求方式不正确:请检查Postman请求方式是否与接口要求的一致,比如接口要求使用GET请求,而你在Postman中使用了POST请求。 4. 参数格式不正确:请检查Postman中输入的参数格式是否与接口要求的一致,比如接口要求的参数类型为JSON格式,而你在Postman中输入的是FormData格式。 5. 接口服务器问题:如果以上都没有问题,那么可能是接口服务器出现了问题,建议联系接口开发人员进行排查。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值