CROS实现跨域时授权问题(401错误)的解决

最新推荐文章于 2025-07-03 22:31:19 发布
转载 最新推荐文章于 2025-07-03 22:31:19 发布 · 1.7w 阅读 · 4
文章标签:

#CROS

http://www.open-open.com/lib/view/open1463878276539.html

如果我们访问的资源是不需要授权的,也就是在HTTP请求头中不包含 authentication 头那么以上做法就足够了。但是如果该资源是需要权限验证的,那么这个时候跨域请求的预检测 option 请求,由于不会携带身份信息而被拒绝 。浏览器会报出401错误。

前几天的文章 Spring通过CROS协议解决跨域问题 中提到了如何解决跨域问题的基本思路,解决了跨域请求时浏览器403错误。

Response to preflight request doesn't pass access control check:
No 'Access-Control-Allow-Origin' header is present on the requested resource.
Origin 'null' is therefore not allowed access. 
The response had HTTP status code 403

401错误信息如下:

Failed to load resource:
the server responded with a status of 401 (Unauthorized)
XMLHttpRequest cannot load http://localhost/api/test.
Response for preflight has invalid HTTP status code 401

既然知道了问题的原因,答案也就很容易得出: 对需要进行跨域请求的资源(api),当服务端检测到是 OPTONS 请求时候统统放行,给出HTTP.OK(200)的状态和必要的响应头,哪怕它是不带身份信息的 。

这个问题既可以通过编写对应的后端代码实现,也可以通过设置服务器配置文件实现。也就是如何设置响应头和返回200状态码的办法了。

Spring+Shrio的解决方案

shiro中可以在自己实现的身份验证filter中加入以下代码:

@Override
  protected boolean preHandle(ServletRequest servletRequest, ServletResponse servletResponse) throws Exception {
      HttpServletRequest request = (HttpServletRequest) servletRequest;
      HttpServletResponse response = (HttpServletResponse) servletResponse;
      if(request.getMethod().equals(RequestMethod.OPTIONS.name()))
      {
          response.setStatus(HttpStatus.OK.value());
          return false;
      }
      return super.preHandle(request, response);
  }

shiro中AccessControlFilter提供了访问控制的基础功能;比如是否允许访问/当访问拒绝时如何处理等,也是我们一般自定义权限验证时候的一个父类,我们通过重写他的 onPreHandle 方法判断是否是 option 请求,如果是则设置相应状态,(响应头已经在之前文章中通过filter配置过了)返回false表示该拦截器实例已经处理了,将直接返回即可。

Tomcat配置

需要修改tomcat的全局web.xml文件在 CATALINA_HOME/conf 下,加入以下配置。

<filter>
       <filter-name>CorsFilter</filter-name>
       <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
     </filter>
     <filter-mapping>
       <filter-name>CorsFilter</filter-name>
       <url-pattern>/*</url-pattern>
     </filter-mapping>

Nginx配置

add_header 'Access-Control-Allow-Methods' 'GET,OPTIONS,PUT,DELETE' always;
add_header 'Access-Control-Allow-Credentials' 'true' always;
add_header 'Access-Control-Allow-Origin' '$http_origin' always;
add_header 'Access-Control-Allow-Headers' 'Authorization,DNT,User-Agent,Keep-Alive,Content-Type,accept,origin,X-Requested-With' always;

if ($request_method = OPTIONS ) {
    return 200;
}

Apache配置

Header always set Access-Control-Allow-Origin "http://waffle"
Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS"
Header always set Access-Control-Allow-Credentials "true"
Header always set Access-Control-Allow-Headers "Authorization,DNT,User-Agent,Keep-Alive,Content-Type,accept,origin,X-Requested-With"

RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]

js请求示例

请求时候需要加上 Authorization 和 Content-Type 头。

$http({
  method: 'POST',
  url: scope.webdav.url,
  withCredentials: true,
  headers: {
    Authorization: 'Basic ' + btoa(user + ':' + password),
    'Content-Type': 'application/vnd.google-earth.kml+xml; charset=utf-8'
  },
  data: getKml()

})
EpisodeOne
关注
Nginx配置cros以及遇到401响应的问题
yicixin's blog
09-02 2万+
nginx配置cros以及遇到401、500响应的问题 这是我Nginx的server配置: server { listen 80; server_name DataAnalysis; location / { if ($request_method = 'OPTIONS'){ add_header 'Acce...
Spring MVC通过CROS协议解决问题
kai1992_zhang的博客
06-30 2094
现在接手学校网络中心的一个项目,根据团队成员的实际情况以及开发需要,老师希望做到前后端完全分离。后台使用java提供restful API 作为核心,前台无论PC或者移动端可以共用一个核心。前期解决了哦oauth2,作为授权机制等问题,本以为大业将成。(最近打算详细介绍一下机遇Spring sercurity 实现oauth2的解决方案)结果又出现了一个问题,让我们踩了一个大坑,记录在此,以绝
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
qq_54502508的博客
02-20 3042
解决SpringBoot整合Shiro 问题及前端报错401问题解决——亲测有效!
Failed to load resource: the server responded with a status of 404 (Not Foun
最新发布
Assdqd的博客
07-03 117
可能是开了vpn。
配置了请求却显示401错误代码/解决方法
i_Water_boy的博客
12-09 337
1.我的问题是在之前引入了Spring Security的包,后来不用了但是忘记删除依赖,导致配置cors失效。2.如果一定要用Spring Security包,就要配置允许使用cors配置,不然就会显示401错误不允许。
SpringSecurity自定义过滤器返回401导致前端Axios报错且禁止的坑
qq_35359663的博客
08-29 1198
但是问题就出现在我们自定义的过滤器JwtTokenFilter上,在这个过滤器里面会进行Token的校验,会给前端响应401或者403等。AxiosError获取不到response是因为Axios会在禁止候不允许获取response。只要解决问题就可以了。所以最终的解决方法是将自定义的JwtTokenFilter的顺序放置CorsWebFilter之后。当响应401或者403的候,请求就在此结束了,但此并未设置CORS相关的响应头。前端使用的是Vue3+Axios1.4。
如何在请求中允许带入原网站的cookie(401:not authorizated)
刹那的博客
02-09 3606
博主在项目开发中,遇到一个问题,在当前网页,发送一个请求,可是浏览器给我报401:not authorizated。一开始以为是我写的http请求没有带入一些身份验证信息,后来仔细研究了下,此请求没有带包含认证信息的cookie,可是我看了项目中别的http请求压根没有单独去设置这种cookie。 我又看了下Chrome—》 DevTools—》application—》Cookies,发
allow-cors-access-control插件,解决问题,内含使用教程
10-03
在互联网开发过程中,Cross-Origin)是一个常见的问题,特别是在进行本地开发或者API测试限制是浏览器为了安全而实施的一项策略,防止恶意网站通过JavaScript获取其他网站的数据。然而,这在某些场景...
html5 webgl 图片,图片资源权限(CORS enabled image)
weixin_39846289的博客
06-04 684
HTML 规范文档为 images 引入了 crossorigin 属性, 通过设置适当的头信息 CORS, 可以从其他站点加载 img 图片, 并用在 canvas 中,就像从当前站点(current origin)直接下载的一样.crossorigin 属性的使用细节, 请参考CORS settings attributes.什么是 “被污染的(tainted)” canvas?尽管没有COR...
CORS漏洞简析
Alexz__的博客
04-18 2329
1,什么是CORS 2,CORS漏洞简析及POC 3,基于wordpress5.2.4的CORS漏洞复现 壹 什么是CORS 想了解CORS先要搞清楚浏览器的同源策略 同源策略(Same Origin Policy) 是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。它能帮助阻隔恶意文档,减少可能被攻击的...
常规Java工具,算法,加密,数据库,面试题,源代码分析,解决方案
10-30
CROS实现授权问题 6年前 CrossOrigin_请求 服务器端请求问题 7年前 Eclipse_Referenced_File_Contains_Errors Eclipse Xml编译错误引用的文件包含错误 - spring-beans-4.0.xsd 6年前 Git_语言_显示 修改...
浏览器问题
m0_59429189的博客
08-22 363
如果出现问题,不是同一端口,不是同一host等会出现401问题解决方法,1 安全模式的浏览器 2在original里配置对应url。
Tomcat :“localhost:8080”报错401Unauthorized
韩小兔修媛史的博客
09-03 3131
总结一下第一次遇到的Unauthorized:401错误,其实呢很简单的一个错: 运行tomcat的候,当我输入localhost:8080,弹出一个提示框: 需要用户名密码登录,也就是没有访问权限,点击取消: 报错401Unauthorized 分析 任何客户端 ( 例如您的浏览器) ,都需要通过以下循环:从站点的 IP 名称 ( 即您站点的网址-URL, 不带起始的 ‘http://’) 获得一个 IP 地址。这个对应关系 ( 即由 IP 名称向 IP 地址转换的对应关系 )名服务器 (
rabbitmq主页登录报错main.js:1263 Failed to load resource: the server responded with a status of 401
weixin_71635653的博客
08-14 659
问题:rabbitmq在网页登录显示Login failed。f12查看问题是发现报错401解决:查阅资料后发现需要再管理员的基础上再进一步给与更高的权限才能在网页登录rabbitmq主页。显示我登录的账号为未授权,但实际上在Lunix中已经操作授权为管理员。最后我们在刷新界面登陆就成功啦!步骤1:创建你的账号密码。步骤2:给与账号管理员角色。步骤3:设置为用户最高权限。
Failed to load resource: the server responded with a status of 404 (Not Found)
m0_56438452的博客
06-26 3998
在学习react组件化编程,需要运用json-server服务器来模拟后端接口数据,然后再npm官网查询json-server后根据操作步骤操作后,浏览器页面获取不到数据总是显示Failed to load resource: the server responded with a status of 404 (Not Found),苦恼了很久,再卡了一个小后,发现了原因,是我的db.json文件创建的位置不对,所以一直找不到db.json文件进而不能获取数据。错误原因:db.json文件创建在了rea
Failed to load resource: the server responded with a status of 403 () No ‘Access-Control-Allow-Orig
Kaaaakaki的博客
03-07 1362
1.controller上没加 @CrossOrigin注解 解决问题 2. 访问路径有错 仔细检查 controller中的路径 前端api路由中的路径 nginx配置文件中的路径 3. 后端动了代码之后没有重新启动
一次请求出现 OPTIONS 请求的问题解决方法
weixin_33953249的博客
08-26 3705
问题背景 浏览器从一个名的网页去请求另一个名的资源名、端口、协议任一不同,都是 在前后端开发过程经常会遇到问题。网上也都有解决方案。 写这篇文章,我们碰到的一个场景是:要给s系统做一个扩展,前端的html、js放在s系统里,后端需要做一个单独的站点N.B.com。这就导致了问题,大多数候 前后端用一个CORS方案 解决问题就可以了。但是我这次有点特别。 前端这边是...
js报错:Failed to load resource: the server responded with a status of 404 (Not Found)
热门推荐
老衲的少女心i~
04-07 16万+
报错: 报错截图: 文字提醒: Failed to load resource: the server responded with a status of 404 (Not Found) :8020/favicon.ico:1 翻译: 加载资源失败:服务器响应404 (Not Found):8020/favicon.ico:1 解决方法: 经常会遇见这个问题,在我自己写js的候。 ...
springboot中Cros解决问题
12-31
### 解决Spring Boot项目中的问题 为了有效解决Spring Boot项目的请求问题,可以采用多种方式来配置CORS(Cross-Origin Resource Sharing)。以下是几种常见的解决方案。 #### 方法一:全局配置CorsConfigurationSource Bean 当需要为整个应用程序设置统一的策略,可以通过定义`CorsConfigurationSource` bean实现。此方法适用于所有控制器接口,并能与Spring Security集成良好[^1]: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("http://example.com") // 替换成实际允许的名或IP地址 .allowedMethods("*"); } } ``` 对于更复杂的场景,比如结合Spring安全框架一起工作,则需创建自定义的`CorsConfigurationSource` bean并调用`HttpSecurity.cors()`来进行配置: ```java @Bean public CorsConfigurationSource corsConfigurationSource() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("http://example.com"); // 设置允许的源 config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return source; } @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and(); // 启用cors配置 ... } ``` #### 方法二:局部控制@CrossOrigin 注解 如果只想针对特定REST API开放权限,可以在Controller类级别或者具体的方法上添加`@CrossOrigin`注解。这种方式更加灵活,适合不同API有不同的需求的情况[^2]: ```java @RestController @RequestMapping("/api/v1") @CrossOrigin(origins = "http://localhost:8080", maxAge = 3600) public class MyRestController { @GetMapping("/test") public String test(){ return "Hello World!"; } } ``` 需要注意的是,在某些情况下,即使已经按照上述方法进行了正确配置,仍然可能出现失败的现象。这可能是由于浏览器缓存了之前的错误响应所致;也有可能是因为指定的目标URL不完全匹配所造成的。例如,当尝试仅通过IP加端口号的形式(`http://192.168.3.16:9999`)作为允许的起源,可能会遇到兼容性问题。此建议确保路径部分为空,即直接指向Tomcat根目录下的应用实例[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值