Rest AngularJS$http POST withCredentials失败,请求正文中有数据
AngularJS使用REST对服务器端进行身份验证,并获取JSESSIONID cookie。 在下一步中,我将尝试使用REST和上一步获得的会话cookie从服务器端获取一些JSON数据。以下是客户端代码:Rest AngularJS$http POST withCredentials失败,请求正文中有数据,rest,session-cookies,cors,preflight,angularjs-http,Rest,Session Cookies,Cors,Preflight,Angularjs Http,AngularJS使用REST对服务器端进行身份验证,并获取JSESSIONID cookie。 在下一步中,我将尝试使用REST和上一步获得的会话cookie从服务器端获取一些JSON数据。以下是客户端代码: getSomeJSONDataFromServer:function() { var deferred = $q.defer(); $http({ method: 'POST', withCredentials: true, url: "http://domain
getSomeJSONDataFromServer:function() {
var deferred = $q.defer();
$http({
method: 'POST',
withCredentials: true,
url: "http://domain.name/app/someURL",
headers:{
'Accept':'application/json',
'Content-Type':'application/json; charset=utf-8',
'Access-Control-Request-Headers': 'X-Requested-With, content-type, accept, origin, withcredentials'
}
})
.success(function(data, status, headers, config) {
// handle data
})
.error(function(data, status, headers, config) {
// handle error
});
return deferred.promise;
}
以上代码正常工作:
当我在上面的POST请求正文中发送一些数据时,问题就开始了
...
$http({
method: 'POST',
withCredentials: true,
url: "http://domain.name/app/someURL",
headers:{
'Accept':'application/json',
'Content-Type':'application/json; charset=utf-8',
'Access-Control-Request-Headers': 'X-Requested-With, content-type, accept, origin, withcredentials'
},
data: '{}'
})
.success(...
上述代码在预照明请求中失败:
服务器似乎启动了一个新会话,因为会话cookie由于某种原因未发送。无论如何,我觉得我错过了一些非常简单的东西,一些标题或类似的东西。。。
欢迎提出任何意见。提前感谢。根据凭据,即会话cookie不会在飞行前请求中发送,因此解决方案是在REST服务器端禁用选项请求的安全性,只允许不带会话cookie的请求用于选项请求
当然,要注意不要禁用POST和GET请求的安全性。根据
为了在POST中允许cookie,需要使用访问控制允许凭据配置远程:true
如果您使用的是jetty,则需要配置
<init-param>
<param-name>allowCredentials</param-name>
<param-value>true</param-value>
</init-param>
allowCredentials
真的
引用MDN的文章
重要注意事项:响应认证请求时,服务器必须指定域,并且不能使用通配符。如果标题通配符为:Access Control Allow Origin:*,则上述示例将失败。由于Access Control Allow Origin明确提到,凭证识别内容将返回给调用的web内容。Amir
请允许我帮助您和其他人清楚了解与CORS打交道时的期望,例如:
索引:
- 简单CORS版本
- 预飞CORS版本
- 具有凭据的请求
- 在任何方法情况下,都不能设置自定义标题
- 您可以始终让服务器端通过access Control Allow Origin标头限制域访问
- 内容类型必须是以下任一项:
- 应用程序/x-www-form-urlencoded
- 多部分/表单数据
- 文本/html
- 在任何方法情况下,都可以设置自定义标题
- 您可以始终让服务器端通过access Control Allow Origin标头限制域访问
- 内容类型可以是以下内容之一:
- 应用程序/x-www-form-urlencoded
- 多部分/表单数据
- 文本/html
- 内容类型也可以是其他类型的:
- 应用程序/json
- 应用程序/xml
- 文本/xml
- 等等
- withCredentials=true
这似乎是一个跨域调用的问题。如果您正在调用的url与您的调用脚本位于同一个域中,AJAX调用只会发送Cookies。是的,肯定是CORS调用。直到你把身体添加到请求中。。。