CORS 预检在 Firefox 中失败,但在 Chrome 中适用于 Apache CXF
CORS preflight fails in Firefox but works in Chrome for Apache CXF
我正在向 Java Web 应用程序添加对 CORS 请求的支持,但由于某些未知原因,Firefox 无法正确发送(或接收)Content-Type header。该应用程序在 Jetty 网络服务器上运行,但在 Chrome.
中一切正常
我不确定问题是出在 Firefox、Jetty 还是我们的前端应用程序中,但是有些事情 很奇怪。
根据 Firefox 的请求和响应 headers:
请求
Host: localhost:8889
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: POST
Access-Control-Request-Headers: authorization,content-type
Origin: http://localhost:7778
DNT: 1
Connection: keep-alive
回应
Access-Control-Allow-Origin: http://localhost:7778
Content-Length: 0
Date: Wed, 14 Sep 2016 17:10:36 GMT, Wed, 14 Sep 2016 17:10:36 GMT
Server: Jetty(8.1.14.v20131031)
access-control-allow-credentials: true
access-control-allow-headers: authorization, -type
access-control-allow-methods: POST
与 Chrome 中提出的相同请求:
请求
OPTIONS *redacted* HTTP/1.1
Host: localhost:8889
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Access-Control-Request-Method: POST
Origin: http://localhost:7778
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Access-Control-Request-Headers: authorization, content-type
Accept: */*
DNT: 1
Referer: http://localhost:7778/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
回应
HTTP/1.1 200 OK
Date: Wed, 14 Sep 2016 16:14:34 GMT
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: authorization, content-type
Access-Control-Allow-Methods: POST
Access-Control-Allow-Origin: http://localhost:7778
Content-Length: 0
Date: Wed, 14 Sep 2016 16:14:34 GMT
Server: Jetty(8.1.14.v20131031)
发出请求的代码是一个普通的 jQuery 调用;
$.ajax({
"url": "http://localhost:8889/...",
"method": "POST",
"accepts": "*/*",
"headers": {
"Authorization": "Basic ..." // yes, I know. it's a legacy app
},
"xhrFields": {
"withCredentials": true
},
"contentType": "application/json",
"data": "..."
})
我尝试搜索 Jetty 和 Firefox 之间的奇怪交互,在 Mozilla 的错误跟踪器中挖掘(运气不好),并禁用了两种浏览器中的所有扩展以消除任何奇怪的插件问题。到目前为止,我所做的一切都没有改变。我在这里无能为力。我错过了什么?
tl;dr
Apache CXF 在其 CORS 过滤器 class 中有一个错误。该错误仅存在于真正的旧版本中。将 CXF 更新到版本 2.7.6 或更高版本可以解决问题。
最近,当我们遇到更多与之相关的客户问题时,我又回到了这个错误。我终于找到了来源并认为我会 post 在这里以防其他人遇到同样的情况。不过,考虑到修复的性质,我希望大多数人都是安全的。
原因归结为 Apache CXF 库中的 CrossOriginResourceSharingFilter class。我们使用的版本(旧 版本)在其 header 解析中有一个错误,已在更高版本中修补。
具体来说,过滤器使用 ,\w* 作为 header 值的分隔符,我认为它应该是 ,\s*。因此,comma-delimited 逗号后没有空格的列表会被错误地解析。
既然这么早就修复了这个bug,我希望很少有人需要这个答案。但知道公司在更新 third-party 库(如我们的案例)时可能会进展缓慢,我想把它放在那里。
对我来说,问题是 运行 同一端口上本地主机上的两台服务器。我不知道一台服务器是 运行,但它是发送错误 CORS 响应的服务器。我不知道为什么它似乎总是在 Chrome 上工作。
我正在向 Java Web 应用程序添加对 CORS 请求的支持,但由于某些未知原因,Firefox 无法正确发送(或接收)Content-Type header。该应用程序在 Jetty 网络服务器上运行,但在 Chrome.
我不确定问题是出在 Firefox、Jetty 还是我们的前端应用程序中,但是有些事情 很奇怪。
根据 Firefox 的请求和响应 headers:
请求
Host: localhost:8889
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Access-Control-Request-Method: POST
Access-Control-Request-Headers: authorization,content-type
Origin: http://localhost:7778
DNT: 1
Connection: keep-alive
回应
Access-Control-Allow-Origin: http://localhost:7778
Content-Length: 0
Date: Wed, 14 Sep 2016 17:10:36 GMT, Wed, 14 Sep 2016 17:10:36 GMT
Server: Jetty(8.1.14.v20131031)
access-control-allow-credentials: true
access-control-allow-headers: authorization, -type
access-control-allow-methods: POST
与 Chrome 中提出的相同请求:
请求
OPTIONS *redacted* HTTP/1.1
Host: localhost:8889
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Access-Control-Request-Method: POST
Origin: http://localhost:7778
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Access-Control-Request-Headers: authorization, content-type
Accept: */*
DNT: 1
Referer: http://localhost:7778/
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8
回应
HTTP/1.1 200 OK
Date: Wed, 14 Sep 2016 16:14:34 GMT
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: authorization, content-type
Access-Control-Allow-Methods: POST
Access-Control-Allow-Origin: http://localhost:7778
Content-Length: 0
Date: Wed, 14 Sep 2016 16:14:34 GMT
Server: Jetty(8.1.14.v20131031)
发出请求的代码是一个普通的 jQuery 调用;
$.ajax({
"url": "http://localhost:8889/...",
"method": "POST",
"accepts": "*/*",
"headers": {
"Authorization": "Basic ..." // yes, I know. it's a legacy app
},
"xhrFields": {
"withCredentials": true
},
"contentType": "application/json",
"data": "..."
})
我尝试搜索 Jetty 和 Firefox 之间的奇怪交互,在 Mozilla 的错误跟踪器中挖掘(运气不好),并禁用了两种浏览器中的所有扩展以消除任何奇怪的插件问题。到目前为止,我所做的一切都没有改变。我在这里无能为力。我错过了什么?
tl;dr
Apache CXF 在其 CORS 过滤器 class 中有一个错误。该错误仅存在于真正的旧版本中。将 CXF 更新到版本 2.7.6 或更高版本可以解决问题。
最近,当我们遇到更多与之相关的客户问题时,我又回到了这个错误。我终于找到了来源并认为我会 post 在这里以防其他人遇到同样的情况。不过,考虑到修复的性质,我希望大多数人都是安全的。
原因归结为 Apache CXF 库中的 CrossOriginResourceSharingFilter class。我们使用的版本(旧 版本)在其 header 解析中有一个错误,已在更高版本中修补。
具体来说,过滤器使用 ,\w* 作为 header 值的分隔符,我认为它应该是 ,\s*。因此,comma-delimited 逗号后没有空格的列表会被错误地解析。
既然这么早就修复了这个bug,我希望很少有人需要这个答案。但知道公司在更新 third-party 库(如我们的案例)时可能会进展缓慢,我想把它放在那里。
对我来说,问题是 运行 同一端口上本地主机上的两台服务器。我不知道一台服务器是 运行,但它是发送错误 CORS 响应的服务器。我不知道为什么它似乎总是在 Chrome 上工作。