Js 跨域CORS报错 Response for preflight has invalid HTTP status code 405

最新推荐文章于 2022-12-05 12:44:26 发布
最新推荐文章于 2022-12-05 12:44:26 发布
阅读量502 收藏
点赞数
文章标签: json
原文链接:http://www.cnblogs.com/SilenceTom/p/6697484.html
版权

调用接口遇到Response for preflight has invalid HTTP status code 405这样的错误,是使用PUT方式提交请求接口。Content-Type设置为application/json,JS代码如下:

$.ajax({
    type: "PUT",
    url: "http://172.16.200.84:8977/Messages?sessionId=ee876bfbtest",
    data:data,
    beforeSend: function (XMLHttpRequest) {
        XMLHttpRequest.setRequestHeader("Content-Type", "application/json");
    },
    success: function (data, textStatus) {
        alert(data);
    }
});
 

尝试解决

项目使用的是WebApi,按照网上的比较通用的方法是直接在项目的webconfig里配置如下节点:

<system.webServer>
<httpProtocol>
  <customHeaders>
    <add name="Access-Control-Allow-Origin" value="*" />
    <add name="Access-Control-Allow-Headers" value="Content-Type" />
    <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
  </customHeaders>
</httpProtocol>
…

 

当然配置后依然没有成功,接下来再试一次还是失败。还是原来的错误。

6360516868798237507944054

继续努力

后来注意到失败的请求Method是OPTIONS,奇怪了,明明是PUT请求,怎么出现了Method为OPTIONS的请求呢?还要在Global.asax里加上如下处理:

protected void Application_BeginRequest()
{
  if (Request.Headers.AllKeys.Contains("Origin") && Request.HttpMethod == "OPTIONS")
  {
    Response.End();
  }
}
 

原因

再试一次,成功了。但是看记录,会有两个请求,一个是OPTIONS请求返回200成功,一个是自己的PUT请求,返回200成功。那么这个OPTIONS请求到底是什么?百度了一下得到了答案:

 

Preflighted Requests(预检请求)

Preflighted Requests是CORS中一种透明服务器验证机制。预检请求首先需要向另外一个域名的资源发送一个 HTTP OPTIONS 请求头,其目的就是为了判断实际发送的请求是否是安全的。

下面的2种情况需要进行预检:

1、简单请求,比如使用Content-Type 为 application/xml 或 text/xml 的 POST 请求;

2、中设置自定义头,比如 X-JSON、X-MENGXIANHUI 等。

原来如此,在js发起PUT请求的时候,头部设置了XMLHttpRequest.setRequestHeader("Content-Type", "application/json"),所以请求的时候会多出一个OPTIONS,如果去掉这个头,就不会多出这次请求了。

什么是CORS

CORS_principle

CORS 流程

prelight1

补充

当然为了安全起见,可以不配置Web.Config,而是自己定义一个ActionAllowOriginAttribute,继承于ActionFilterAttribute,然后对需要跨域访问的接口加上标签就行了,主要是在header加上如下内容:

response.AddHeader("Access-Control-Allow-Origin", "*");
response.AddHeader("Access-Control-Allow-Methods", "PUT,GET,POST,OPTIONS");
response.AddHeader("Access-Control-Allow-Headers", "X-Requested-With, Content-Type, X-File-Name");

转载于:https://www.cnblogs.com/SilenceTom/p/6697484.html

diloujing4123
关注
ajax 报错 Response to preflight request doesn‘t pass access control check: No *** header
缚己
01-26 1065
问题截图 之前的项目中,就遇到了的问题,所以这次一开始后端就设置了允许,但是仍然抛出这样的异常,百度半天,发现是 axios 的问题,我的代码: const result = await axios.post('http://localhost:3000/login', this.login_form) login_from 是一个对象 大部分问题的解决都是使用了 qs,根据网上的说法 axios 只能以字符串的形式发送,而axios在发送数据时需要字符串的方式进行发送,也就是说是放在 fo
问题是怎样造成的?
爱写代码的程序员
05-09 825
问题的由来 相信很多人都或多或少了解过问题,尤其在现如今前后端分离大行其道的时候。 你在本地开发一个前端项目,这个项目是通过 node 运行的,端口是9528,而服务端是通过 spring boot 提供的,端口号是7001。 当你调用一个服务端接口时,很可能得到类似下面这样的一个错误: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gi6zOBkM-1589015502774)(https://upload-images.jianshu.io/upload_imag
关于重定向Response for preflight is invalid (redirect)
weixin_34247155的博客
04-23 4343
今天遇到一个bug,上网查了原来是我的地址少了个/ Failed to load http://data.geekpark.net/api/v1/industrial-tag: Response for preflight is invalid (redirect) Company.vue?cea2:229 Error: Network Error at createError (crea...
为什么我的 AJAX 发了两个请求?
weixin_30525825的博客
05-17 121
为什么我的 AJAX 发了两个请求? 转载自:http://todoit.me/ajax-preflight/ 最近在做一个 VUE 的项目的时候, 和后端的小伙伴对接口, 想方便开发, 于是要求后端的小伙伴在所有的接口都加上的许可 (Access-Control-Allow-Origin) (后来事实证明这不是一个很好的解决方案, 因为 vue-cli 提供了 proxy-tabl...
请求路径不对,预检请求preflight返回404,导致真实请求返回CORS错误
lzhfdxhxm的博客
10-26 3456
目录 环境信息 问题描述 解决方案 解决思路 解决方法 不同的路径错误现象 上下文路径不对 chrome浏览器 网络 控制台 火狐 网络 控制台 第一个请求:真实请求 第二个请求:预检请求preflight 非上下文的路径不对 chrome浏览器 控制台 第一个请求:预检请求preflight 第二个请求:真实请求 源码分析 调用链 CoyoteAdapter.java Mapper.java CoyoteAdapter.java 总结 ...
js中ajax请求出现405错误,405在AJAX调用JSON时出现错误(xhr.status
weixin_29827279的博客
08-06 2453
我正试图解决AJAX调用问题。我得到了405的xhr.status错误消息,这里是我的代码:405在AJAX调用JSON时出现错误(xhr.status)$.ajax({url: '/v/js/swatch.js', //Where to make Ajax callstype: 'post',dataType:'text', // Data type, HTML, json etc.succes...
Spring boot 和Vue开发中CORS问题解决
12-11
资源共享CORS(Cross-origin Resource Sharing),是W3C的一个标准,允许浏览器向源的服务器发起XMLHttpRequest请求,克服ajax请求只能同源使用的限制。关于CORS的详细解读,可参考阮一峰大神的博客:资源...
cors解决ajax
04-14
在AJAX中,使用XMLHttpRequest或Fetch API进行请求时,浏览器会先发起一个预检请求(Preflight Request),即OPTIONS请求,用来询问服务器是否允许。服务器在响应这个预检请求时,会包含CORS相关的响应头,...
非简单请求中POST请求的Options预请求403异常的处理
qq_36956015的博客
01-05 2万+
http请求中,post请求的数据在请求体中,在spring MVC中通过@RequestBody接收。 post请求属于http请求中的复杂请求,http协议在浏览器中对复杂请求会先发起一次Options的预请求,发起Options请求常会报403错误: Failed to load https://one.xxx.com/abd : Response to preflight re...
videojs CORS 失败 无效 ,添加 add_header Access-Control-Allow-Origin *; 无效
面朝大海,春暖花开
12-05 3053
videojs CORS 失败 无效 ,添加 add_header Access-Control-Allow-Origin *; 无效
405 Method Not Allowed 解决方案
MENGBAA的博客
03-16 5316
背景描述 前端发送请求到后端,可是经过swagger测试,后端接口是没问题的 可是一旦调用就发生405报错 解决方案 一般这种情况发生是因为前后端请求方式不一致 写在前端的接口声明方式是post 我们来看后端 很明显了,后端是get,因此只要将后端改为@PostMapping即可 当然有时也会犯低级错误,可能是连注解都没写哦,所以找不到 ...
使用postman发post请求,后台也是post为什么报405
zouyang920的博客
12-24 7619
原因是项目中做了httphttps,当使用post请求时,应该使用https协议访问,如果使用http的话只能支持get请求,post的话则会报405 method not supported!
C# JS调用webapi提示405 (Method Not Allowed)
anrankk520的博客
11-06 1787
.netpost后台(api在iis另一个程序上)会提示405 (Method Not Allowed)和Response for preflight has invalid HTTP status code 405 查了很多资料都说修改IIS配置什么的,没有用。 后来才发现人家报405的都是ashx 最后才发现,WebApi报405的解决方案应该是修改Web.config(emmm,暂时还不知道...
axios 设置请求头之后POST或GET变成了OPTIONS,报错405
xustart7720的博客
05-14 8605
报错如图: 首先出现options请求是因为你添加了自定义的请求头,导致你的简单请求变成了复杂的。 本人看了很多相关文章,有的说让后台加什么请求头,不行。让运出来一下,还是可以的。 自己瞎搞搞,发现,有一个请求头其实不需要的,注释了。就再也不会调用options方式请求啦!!!! import axios from 'axios'; import qs from 'qs'; let i...
HTTP 405 错误 – 方法不被允许 (Method not allowed)【转载】
热门推荐
weixin_33744141的博客
03-01 5万+
介绍 HTTP 协议定义一些方法,以指明为获取客户端(如您的浏览器或我们的 CheckUpDown 机器人)所指定的具体网址资源而需要在 Web 服务器上执行的动作。则这些方法如下: OPTIONS( 选项 ) :查找适用于一个特定网址资源的通讯选择。 在不需执行具体的涉及数据传输的动作情况下, 允许客户端来确定与资源相关的选项以及 / 或者要求, 或是一个服务器的性能。 GET(...
angularjs请求服务器报405,数据格式不对,以x-www-form-urlencoded传输
x707669224的专栏
10-12 4392
headers: { 'Content-Type': 'application/x-www-form-urlencoded;charset=UTF-8' }, transformRequest: function(obj) { var str = []; for(var p in obj) str.push(encodeURIComponent(p) + "=" + encodeURI
CORS配置白名单
最新发布
03-14
### 配置CORS中的白名单 资源共享(Cross-Origin Resource Sharing, CORS)是一种浏览器机制,它允许某些资源由位于不同名下的网页加载。为了增强安全性并控制哪些外部站点可以访问特定资源,在实际开发中通常会配置受信任的白名单。 #### Java 中配置 CORS 的方法 在 Java 应用程序中可以通过多种方式实现 CORS 白名单的配置。以下是几种常见的方法: 1. **基于过滤器的方式** 使用 `Filter` 类拦截请求并对响应头进行修改,从而设置允许的来源列表。 ```java import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CorsFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletResponse response = (HttpServletResponse) res; response.setHeader("Access-Control-Allow-Origin", "https://example.com"); // 设置白名单 response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE"); response.setHeader("Access-Control-Max-Age", "3600"); response.setHeader("Access-Control-Allow-Headers", "Content-Type,X-Requested-With"); chain.doFilter(req, res); } @Override public void init(FilterConfig filterConfig) {} @Override public void destroy() {} } ``` 上述代码片段展示了如何通过自定义过滤器来设置 CORS 头部信息,并指定允许的来源地址[^1]。 2. **Spring Boot 中的全局配置** 如果项目使用的是 Spring Boot,则可以通过创建一个 WebMvcConfigurer 来集中管理 CORS 策略。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/api/**") // 对 /api 下的所有接口生效 .allowedOrigins("https://example.com", "https://anotherdomain.com") // 设置多个白名单 .allowedMethods("GET", "POST", "PUT", "DELETE") .maxAge(3600); // 缓存时间 } }; } } ``` 这种方式更加灵活且易于维护,适合大型应用程序。 3. **Keycloak Adapter 中的 CORS 配置** 当涉及到 Keycloak 认证时,可能需要调整其默认行为以支持更多的场景。例如,针对 Keycloak Java Adapter 可以重写部分逻辑处理未认证请求的情况。 修改 `AuthenticatedActionsHandler` 类的相关函数即可满足需求[^2]: ```java protected boolean isCorsPreflight(HttpServletRequest request){ String method = request.getMethod(); if (!"OPTIONS".equalsIgnoreCase(method)) { return false; } String accessControlRequestMethod = request.getHeader(HttpHeaders.ACCESS_CONTROL_REQUEST_METHOD); if (accessControlRequestMethod == null || !isAllowedMethod(accessControlRequestMethod)){ throw new CorsErrorResponseException(cors(), HttpMethod.OPTIONS.name(), OAuthErrorException.INVALID_REQUEST, "Invalid CORS preflight configuration for '" + request.getRequestURI() + "' with method '" + accessControlRequestMethod + "'"); } return true; } ``` 4. **环境变量或配置文件设定** 在一些微服务架构下,推荐将这些敏感数据存储到独立的 `.env` 文件或者类似的资源配置中心里统一管理。下面是一个简单的例子展示如何读取预设好的可信 URL 列表[^3]: ```properties env_type=1 origin_prod=https://xxxx.xxxxx12.cn,\ https://xxxx.xxxx123.cn,\ https://xxxx.xxxxx13245.cn,\ https://xxx.xxxxxxxxx1234.cn ``` 同样也可以利用 spring boot 提供的功能自动注入上述属性值至对应的 bean 定义当中去简化编码工作量。 --- #### 总结 无论采用哪种方式进行 CORS 白名单配置都需要充分考虑业务的实际需求以及潜在的安全隐患。合理规划 API 接口权限范围的同时也要注意保持良好的用户体验平衡两者之间的关系至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值