为具有凭据支持的 tomcat 应用程序启用 CORS

Posted

技术标签:

【中文标题】为具有凭据支持的 tomcat 应用程序启用 CORS【英文标题】:Enable CORS for tomcat applications with credentials support 【发布时间】:2014-05-11 05:54:09 【问题描述】:

我的服务器上有一个从 IIS 运行的简单 GWT 应用程序。我正在尝试测试对在同一台服务器上运行的 tomcat 的 HTTP 请求。但是,由于两个应用程序服务器都在不同的端口上运行,我的浏览器(chrome 和 firefox)将请求视为 CORS 请求。

为了让 tomcat 能够接受 CORS 请求,我将其更新为 Tomcat 7.0.52 并在全局 web.xml 配置中启用了 CORS 过滤器。我测试了这个简单的设置,它似乎工作。以下是 GWT 中的代码:

        String url = "http://bavarians:8080/";
        RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
        box.setText(url);
        try
        
            rb.sendRequest("", new RequestCallback()

                @Override
                public void onResponseReceived(Request request, Response response)
                
                    Window.alert(response.getStatusCode() + response.getStatusText());
                

                @Override
                public void onError(Request request, Throwable exception)
                
                    Window.alert("Request failed");

                );
        
        catch (RequestException e)
        
            // TODO Auto-generated catch block
            e.printStackTrace();

这里是与之关联的 CORS 过滤器:

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
  <init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value>http://bavarians</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.methods</param-name>
    <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.headers</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers, Authorization</param-value>
  </init-param>
  <init-param>
    <param-name>cors.exposed.headers</param-name>
    <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials, Authorization</param-value>
  </init-param>
  <init-param>
    <param-name>cors.support.credentials</param-name>
    <param-value>true</param-value>
  </init-param>
  <init-param>
    <param-name>cors.preflight.maxage</param-name>
    <param-value>10</param-value>
  </init-param>
</filter>
<filter-mapping>
  <filter-name>CorsFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

通过这个设置,我得到了来自 tomcat 的 200 OK 响应。因此可以安全地假设 CORS 过滤器正在工作。为了支持这一点,我做了一个提琴手跟踪,一切看起来都很好。

现在,由于我想访问 tomcat(solr) 的应用程序之一,我需要对我的 CORS 请求进行基本身份验证。这带来了预检请求。由于我设置了我的 CORS 过滤器以启用凭证使用,因此我不需要对其进行任何更改。所以,我对我的代码进行了以下更改

        String url = "http://bavarians:8080/solr/select?wt=xml&q=tag_name:abcd&username=domain\\userid";
        RequestBuilder rb = new RequestBuilder(RequestBuilder.GET, url);
        box.setText(url);
        rb.setHeader("Authorization", "Basic YWRtaW46YWRtaW4=");
        rb.setIncludeCredentials(true);

现在,当我尝试使用此代码时,它会进入onResponseReceived 代码块并给出一个带有“0”值的警告框。当我进行提琴手跟踪时,我得到了这个:

浏览器发送预检请求是有意义的,因为我将自定义标头添加到请求中。但我不明白为什么尽管将授权标头添加到其 CORS 过滤器配置中,但 tomcat 仍以 401 代码响应。

如果有任何帮助或回复,我将不胜感激

编辑:我注意到的另一件事 - 如果我的 URL 只是“bavarians:8080/solr/”;,tomcat 成功授权预检请求,并且立即下一个请求被处理为带有 200 OK 响应的正常 GET 请求。但是如果我输入函数名称并使用 URL 进行查询,我会再次得到 401。从浏览器访问上述 URL 需要基本身份验证。所以CORSFilter 确实可以工作到某个时候

【问题讨论】:

你是怎么解决这个问题的? @TheJaredHooper 我在我的 IIS 上创建了一个代理 asp 页面,它从服务器内部向 tomcat 发出请求。 【参考方案1】:

在预检请求中不会发送凭据,因此您必须配置 Tomcat 以让请求到达 CorsFilter,即使在未经身份验证的情况下也是如此。也就是说,你必须声明一个 &lt;security-constraint&gt;&lt;http-method&gt;OPTIONS&lt;/http-method&gt; 而不是 &lt;auth-constraint&gt;

【讨论】:

请求到达CorsFilter,即使它未经身份验证。我注意到的另一件事是,如果我的 URL 只是“bavarians:8080/solr”,则 tomcat 成功授权了预检请求,并且立即下一个请求将作为普通 GET 请求处理。但是如果我输入函数名并查询,我又会得到 401。从浏览器访问上述 URL 需要基本身份验证。所以CORSFilter 确实可以工作到某个时候。 感谢***.com/questions/34317677/…,我能够通过添加 OPTIONS 将 保留在 中进入 。这解决了我收到的 Cross-Origin Request Blocked 控制台消息,即使它们正在引用(原因:CORS 标头“Access-Control-Allow-Origin”缺失)和(原因:CORS 请求未成功)。 本文解释更多techstacks.com/howto/disable-http-methods-in-tomcat.html【参考方案2】:

我发现 Tomcat 配置是特定于端口的。因此,如果您只是放置您的站点域,它将假定只有端口 80。否则您将需要指定端口:

<init-param>
  <param-name>cors.allowed.origins</param-name>
  <param-value>http://bavarians:8080</param-value>
</init-param>

【讨论】:

【参考方案3】:

不要忘记在&lt;/web-app&gt; 结束标记之前使用此代码在 web.xml 文件的末尾

 <filter>
        <filter-name>CorsFilter</filter-name>
        <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
        <init-param>
            <param-name>cors.allowed.origins</param-name>
            <param-value>*</param-value>
        </init-param>
        <init-param>
            <param-name>cors.exposed.headers</param-name>
            <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
        </init-param>
        <init-param>
            <param-name>cors.allowed.headers</param-name>
            <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers,Authorization</param-value>
        </init-param>
        <init-param>
            <param-name>cors.support.credentials</param-name>
            <param-value>false</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CorsFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

【讨论】:

OP 需要对凭据的支持,因此将cors.support.credentials 设置为 false 是不正确的。

以上是关于为具有凭据支持的 tomcat 应用程序启用 CORS的主要内容,如果未能解决你的问题,请参考以下文章

Spring Security - 从 Tomcat 6 部署到 Tomcat 7 时凭据错误

启用自动填充时,不会使用 Smart Lock API 保存凭据以获取密码

无法使用实体框架代码优先创建具有凭据的数据库?

Nginx + Tomcat + HTTPS 配置不需要在 Tomcat 上启用 SSL 支持

在具有 Java 8 的嵌入式 Tomcat 8.5 上启用 TLS 握手的可观察性(日志记录/指标)

使用客户端凭据从 Tomcat 连接到 SQL Server