带有基本 HTTP 身份验证的 CORS

Question

我在使用 CORS 的基本 HTTP 身份验证时遇到了一些问题：我们有一个 node express Web 服务器 (UI)，从 Java Dropwizard (Jersey) 服务器调用 HTTP API，在同一主机上运行。

API 受到 HTTP 基本身份验证的保护，我在我的 Jersey 服务器上实现了以下过滤器（摘自这篇文章：How to handle CORS using JAX-RS with Jersey）：

@Provider
public class CORSFilter implements ContainerResponseFilter {

    @Override
    public void filter(ContainerRequestContext request,
                                         ContainerResponseContext response) throws IOException {
        response.getHeaders().add("Access-Control-Allow-Origin", "http://localhost:9000");
        response.getHeaders().add("Access-Control-Allow-Headers",
                "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With");
        response.getHeaders().add("Access-Control-Allow-Credentials", "true");
        response.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
    }
}

但是，当我尝试加载 Web UI 时，我的控制台会给出以下输出：

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at http://localhost:9000/intraday/parameters. (Reason: CORS header ‘Access-Control-Allow-Origin’ does not match ‘http://localhost:9000’)

我无法理解这个错误。显然来源是相同的 (http://localhost:9000)，所以我不明白为什么它不匹配。

我还确保使用 HTTP 代码 200 响应任何预检 OPTIONS 请求。

Answer 1

根据问题中的描述，听起来 Java Dropwizard (Jersey) 服务器在 http://localhost:9000 上运行，而 node express Web 服务器 (UI) 在另一个来源运行。

无论如何，您必须将 Jersey 服务器上 CORSFilter 代码中的 Access-Control-Allow-Origin 响应标头的值设置为发出请求的前端 JavaScript 代码的来源（显然是节点服务器）。所以如果是，例如，http://localhost:12345，那么：

response.getHeaders().add("Access-Control-Allow-Origin", "http://localhost:12345");

无论如何，它肯定不是http://localhost:9000，因为如果前端JavaScript 编码请求，您的浏览器不会发出“不允许读取http://localhost:9000/… 的远程资源”的错误消息发送自 http://localhost:9000 提供服务——因为在这种情况下，它不是跨域请求，您的浏览器也不会阻止对响应的访问。