来自多个来源的 CORS

【问题标题】:CORS from multiple origins来自多个来源的 CORS
【发布时间】:2015-11-28 01:19:21
【问题描述】:

我有一个从多个域访问的 Web 服务。由于我无法理解的原因,会话似乎在不同站点之间共享。

  1. 所以,我从 WebAppA 向 API 发出请求。这行得通。

  2. 然后我从 WebAppB 向同一个 Web 服务发出相同的请求。这报告它由于 CORS 政策而被阻止,例如

     The 'Access-Control-Allow-Origin' header has a value 'WebAppA' that is not equal to the supplied origin.  
 Origin 'WebAppB' is therefore not allowed access.

the Tomcat code for the web service 声称它允许 CORS:

我的 web.xml 中有这个:

<param-name>Access-Control-Allow-Origin</param-name>
<param-value>*</param-value>

在处理请求的java类中:

if (StringUtils.isNotBlank(origin)) {
     response.setHeader("Access-Control-Allow-Origin", origin);
}

从逻辑上讲,这应该允许来自 WebAppB 的请求通过,但它仍然将 WebAppA 视为唯一允许的来源。鉴于上面的 sn-p,想到的一个选项是 Origin 标头可能是空白的。但如果是,那么它肯定不会说 WebAppB 不允许访问,因为它不会知道来源是 WebAppB!?

清除缓存可以解决问题,因此它显然与会话相关,但我看不到任何看起来相关的 cookie。

问题我该如何解决这个问题,以便 webapp A 和 B 可以访问相同的 web 服务,而不清除其间的缓存?

免责声明:这是Possible CORS issue. What's going on and how can I fix it? 的后续内容,但我已经进行了更多调查,以便更清楚地定义问题。 (我希望)。

【问题讨论】:

    标签: java ajax tomcat cors intermine


    【解决方案1】:

    我怀疑 org/intermine/webservice/server/WebService.java 中有错误。 它说

    origin = StringUtils.defaultIfBlank(
                    webProperties.getProperty("ws.response.origin"),
                    request.getHeader("Origin"));

    方法参数(src,default)的提供顺序错误,导致服务器总是在“Access-control-allow-origin”中返回一个默认值,而不考虑当前的实际请求...

    【讨论】:

      猜你喜欢
      • 2017-02-22
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-10-25
      • 1970-01-01
      • 1970-01-01
      • 2021-09-15
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode