Play Framework 2.4.x 中的 CORS 疑难解答

Question

我有一个提供 JSON/HTTP API 的 java play framework 2.4.x Web 应用程序。当我运行我的前端 HTML/JS file:///Users/nize/tmp/index.html 在 http://localhost:9000 上调用 API 时，chrome 显示

XMLHttpRequest cannot load http://localhost:9000. 
No 'Access-Control-Allow-Origin' header is present 
on the requested resource. Origin 'null' is therefore 
not allowed access. The response had HTTP status code 403.

我已按照Play Framework 2.4.x CORS Documentation 中的说明配置了网络应用程序：

• 更新为build.sbt
• 将类Filters.java添加到项目的根目录（也尝试过/app）
• 在application.conf 中添加了以下节：

  play.filters.cors {
    allowedOrigins = ["*","http://localhost"]
    #allowedHttpMethods = ["GET", "POST"]
    #allowedHttpHeaders = ["Accept"]
    #preflightMaxAge = 3 days
  }
  

我错过了什么？

编辑： 症状看起来与Other very similar stackoverflow post 相同或相似。该问题通过重新配置安装在计算机上的 Cisco AnyConnect VPN 得到解决。但是，我没有安装该软件。

Answer 1

首先将这些行（配置）添加/编辑到您的 conf/application.conf 中

 play.filters.cors {
  # allow all paths
  pathPrefixes = ["/"]
  # allow all origins (You can specify if you want)
  allowedOrigins = null
  allowedHttpMethods = ["GET", "POST", "PUT", "DELETE"]
  # allow all headers
  allowedHttpHeaders = null
 }   

（请注意，以“#”开头的行是注释行。）

然后去 build.sbt 并添加这一行。

libraryDependencies += filters

最后创建一个名为“Filters.java”的 Java 类并将其包含到根目录 (/app)。

import play.api.mvc.EssentialFilter;
import play.filters.cors.CORSFilter;
import play.http.HttpFilters;

import javax.inject.Inject;

public class Filters implements HttpFilters {

    @Inject
    CORSFilter corsFilter;

    public EssentialFilter[] filters() {
        return new EssentialFilter[] { corsFilter };
    }
}

您可以参考official documentation了解更多信息。

Answer 2

filters = "filters.Filters"


play.filters {

  cors {

    # The allowed origins. If null, all origins are allowed.
    allowedOrigins = null

    # The allowed HTTP methods. If null, all methods are allowed
    allowedHttpMethods = null

    # The allowed HTTP headers. If null, all  headers are allowed.
    allowedHttpHeaders = null
  }

}



public class Filters implements HttpFilters {

    @Inject
    private CORSFilter corsFilter;

    public EssentialFilter[] filters() {
        return new EssentialFilter[] {
            corsFilter.asJava()
        };
    }

}

Answer 3

我认为CORS filter in Play 不起作用！我一步一步地跟着，但不知何故，我总是在 Ajax 调用中的浏览器（Chrome 和 Firefox）中得到 HTTP-403。问题是我什至没有在服务器端获得堆栈跟踪。我认为 CORS 过滤器中的 DefaultHttpErrorHandler 以某种方式吞下它。在响应中缺少“Access-Control-Allow-Origin”标头，所以我只是手动添加。

class Filters @Inject() (corsFilter: CORSFilter, log: LoggingFilter) extends HttpFilters {
  def filters = {
    // CORS filter does not work
    //Seq(corsFilter, log)
    Seq(log)
  }
}

这是日志过滤器（来源：Play！框架）

class LoggingFilter extends Filter {

  def apply(nextFilter: RequestHeader => Future[Result])(requestHeader: RequestHeader): Future[Result] = {

    val startTime = System.currentTimeMillis

    nextFilter(requestHeader).map { result =>

      val endTime = System.currentTimeMillis
      val requestTime = endTime - startTime

      Logger.info(s"${requestHeader.method} ${requestHeader.uri} " +
        s"took ${requestTime}ms and returned ${result.header.status}")

      result.withHeaders(
        "Request-Time" -> requestTime.toString,
        "Access-Control-Allow-Origin" -> "*"   // Added this header
      )
    }
  }
}

Answer 4

我遇到了类似的问题，我收到了 403 的请求。我通过删除：

allowedHttpHeaders=["Accept"] 

他们在示例配置中使用。但是，我仍然不清楚这对安全的影响是什么，所以 YMMV。

Answer 5

这可能无法解决发帖者的问题，但是当我有相同的症状时，它为我解决了问题，我发布它以防它可以帮助处于相同情况的其他人。

我实际上误解了 CORS 的工作原理。我有两个独立的 Play 应用程序，一个带有 REST API，另一个带有使用 REST API 的 Web 界面。我按照问题中提到的文档页面中的说明进行操作，但我的错误是我在 Web 界面应用程序上进行了操作。当我改为在 REST API 应用程序上执行此操作时，它立即生效。

Answer 6

我在遵循相同的文档时遇到了同样的问题。

问题在于您使用的这个 CORS 过滤器：

allowedOrigins = ["*","http://localhost"]

如果您想允许所有来源使用：

allowedOrigins = null

allowedHttpMethods 也一样

这是根据documentation

引用：

允许的来源。如果为 null，则允许所有来源。

allowedOrigins = null

希望这会有所帮助！

Answer 7

它在 Firefox 中有效吗？ Chrome 对从本地文件运行 Ajax 有一些限制，例如，请参阅 this link。如果是 Chrome 特定的，您可以使用命令行开关启动 Chrome 以消除限制。