预检响应中的 Access-Control-Allow-Headers 不允许请求标头字段 Access-Control-Allow-Methods

Question

我在前端使用 Angular，在后端使用 Jersey。执行 PUT 请求时出现异常。这是 Angular 代码：

const header=new Headers({'Content-Type':'application/x-www-form-urlencoded'});
header.append("Access-Control-Allow-Methods", "POST");
header.append("Access-Control-Allow-Headers","Access-Control-Allow-Origin");

return this.http.post('http://localhost:8080',home,{headers: header})
    .pipe(map((response: Response)=>{return response.json();}));

这是我在泽西岛的过滤器：

@Provider
public class CORSResponseFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext requestContext, ContainerResponseContext responseContext)
            throws IOException {

        responseContext.getHeaders().add("Access-Control-Allow-Origin", "*");
        //headers.add("Access-Control-Allow-Origin", "http://podcastpedia.org"); podcastpedia.org       
        responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET,PUT,POST,DELETE,PATCH,OPTIONS");          
        responseContext.getHeaders().add("Access-Control-Allow-Headers", "Access-Control-Allow-Headers, Origin,Accept, X-Requested-With, Content-Type, Access-Control-Request-Method, Access-Control-Request-Headers"); 
    }

}

这是个例外：

无法加载 http://localhost:8080/ 请求标头字段 Access-Control-Allow-Methods 在预检响应中被 Access-Control-Allow-Headers 不允许

谁能帮帮我？

Answer 1

从前端代码中的HttpHeaders 中删除Access-Control-Allow-Methods 和Access-Control-Allow-Headers。这些标头应该作为 response 标头从服务器发送（这是您在 CORSResponseFilter 中所做的）。

无法加载 http://localhost:8080/ 请求标头字段 Access-Control-Allow-Methods 在预检响应中被 Access-Control-Allow-Headers 不允许

这个错误的意思是服务器响应标头Access-Control-Allow-Headers 不包括Access-Control-Allow-Methods 标头值（这是不应该的）。 Access-Control-Allow-Headers 的目的是告诉浏览器允许客户端向服务器发送哪些请求标头。您可以在CORSResponseFilter 中查看您允许哪些标头。 Access-Control-Allow-Methods 不是其中之一。

当您使用它时，您不妨删除Access-Control-Allow-Headers 响应标头中的所有Access-Control-XX-XX 值。这些不是必需的。您是说客户端可以发送这些请求标头，这是不应该的。

另请参阅：

• 查看the update in this answer，了解这些标头的工作原理（如果您有兴趣）。