Я разработал набор успокаивающих веб-сервисов. Я не мог вызвать ни один из этих методов с удаленных клиентов из-за ошибки No 'Access-Control-Allow-Origin' header is present on the requested resource.
Сервисы отлично работают на локальном хосте. Есть ли какие-либо изменения или настройки на серверной стороне для решения проблемы. т. е. включить междоменные запросы.
Я использую WildFly 8, JavaEE 7.
Мне было интересно то же самое, поэтому после небольшого исследования я обнаружил, что самым простым способом было просто использовать JAX-RS ContainerResponseFilter для добавления соответствующих заголовков CORS. Таким образом, вам не нужно заменять весь стек веб-сервисов на CXF (Wildfly использует CXF в какой-то форме, но не похоже, что он использует его для JAX-RS, возможно, только для JAX-WS).
Независимо от того, используете ли вы этот фильтр, он добавит заголовки к каждому веб-сервису REST.
package com.yourdomain.package;
import java.io.IOException;
import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;
import javax.ws.rs.ext.Provider;
@Provider
public class CORSFilter implements ContainerResponseFilter {
@Override
public void filter(final ContainerRequestContext requestContext,
final ContainerResponseContext cres) throws IOException {
cres.getHeaders().add("Access-Control-Allow-Origin", "*");
cres.getHeaders().add("Access-Control-Allow-Headers", "origin, content-type, accept, authorization");
cres.getHeaders().add("Access-Control-Allow-Credentials", "true");
cres.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
cres.getHeaders().add("Access-Control-Max-Age", "1209600");
}
}
Затем, когда я тестировал curl, в ответе были заголовки CORS:
$ curl -D - "http://localhost:8080/rest/test"
HTTP/1.1 200 OK
X-Powered-By: Undertow 1
Access-Control-Allow-Headers: origin, content-type, accept, authorization
Server: Wildfly 8
Date: Tue, 13 May 2014 12:30:00 GMT
Connection: keep-alive
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Transfer-Encoding: chunked
Content-Type: application/json
Access-Control-Max-Age: 1209600
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS, HEAD
Насколько я понимаю, это аннотация @Provider, которая указывает среде выполнения JAX-RS использовать фильтр, без аннотации ничего не происходит.
Я получил идею об использовании ContainerResponseFilter из Пример футболки.
jerseyServlet.setInitParameter( "jersey.config.server.provider.classnames", MyService.class.getCanonicalName() + ", org.glassfish.jersey.media.multipart.MultiPartFeature, " + CORSFilter.class.getCanonicalName())
- person Ashok; 01.12.2015
Access-Control-Allow-Credentials: true эта строка на самом деле конфликтует с "Access-Control-Allow-Origin", "*", поскольку это либо проблема безопасности, либо (по крайней мере, в Chrome) просто отказано. Если вы хотите разрешить учетные данные, вам нужно указать конкретное происхождение, а не подстановочный знак.
- person Stijn de Witt; 02.02.2016
String origin = requestContext.getHeaderString("origin");, затем (когда origin !== null) используйте этот источник как подстановочный знак: cres.getHeaders().add("Access-Control-Allow-Origin", origin);. Если ваш API использует файлы cookie для аутентификации (например, при использовании аутентификации, управляемой контейнером), перед настройкой заголовков CORS проверьте источник по белому списку разрешенных источников.
- person Stijn de Witt; 15.02.2016
@Provider сам по себе мне не помог.
- person Marcus Junius Brutus; 29.01.2020
Server: Wildfly 8?
- person Ahmad Nadeem; 11.05.2020
@OPTIONS @Path("{path : .*}") для каждого nemesisfixx ответа.
- person Jan Hudec; 14.08.2020
Я столкнулся с аналогичной проблемой и попытался использовать решение @Alex Petty, но помимо установки заголовков CORS на каждой конечной точке JAX-RS в моем классе, как таковой:
@GET
@Produces(MediaType.APPLICATION_JSON)
public Response getMemberList() {
List<Member> memberList = memberDao.listMembers();
members.addAll(memberList);
return Response
.status(200)
.header("Access-Control-Allow-Origin", "*")
.header("Access-Control-Allow-Headers", "origin, content-type, accept, authorization")
.header("Access-Control-Allow-Credentials", "true")
.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD")
.header("Access-Control-Max-Age", "1209600")
.entity(memberList)
.build();
}
Мне пришлось дополнительно определить универсальную конечную точку OPTIONS, которая возвращала бы заголовки CORS для любого другого запроса OPTIONS в классе и, таким образом, перехватывала бы все конечные точки сортировки:
@OPTIONS
@Path("{path : .*}")
public Response options() {
return Response.ok("")
.header("Access-Control-Allow-Origin", "*")
.header("Access-Control-Allow-Headers", "origin, content-type, accept, authorization")
.header("Access-Control-Allow-Credentials", "true")
.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD")
.header("Access-Control-Max-Age", "1209600")
.build();
}
Только после этого я смогу правильно использовать свои конечные точки API JAX-RS от клиентов Jquery Ajax на других доменах или хостах.
Я нашел еще более простой (специфичный для RestEasy) способ включить CORS в Wildfly без использования фильтра и где вы можете управлять конфигурацией заголовка ответа API на уровне ресурсов.
Например:
@GET
@Produces(MediaType.APPLICATION_JSON)
public Response getMemberList() {
List<Member> memberList = memberDao.listMembers();
members.addAll(memberList);
return Response
.status(200)
.header("Access-Control-Allow-Origin", "*")
.header("Access-Control-Allow-Headers", "origin, content-type, accept, authorization")
.header("Access-Control-Allow-Credentials", "true")
.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD")
.header("Access-Control-Max-Age", "1209600")
.entity(memberList)
.build();
}
Мне повезло настроить совместное использование ресурсов между источниками (CORS) для моего API (на Wildfly) с помощью этой библиотеки:
<dependency>
<groupId>com.thetransactioncompany</groupId>
<artifactId>cors-filter</artifactId>
<version>2.1</version>
</dependency>
Это очень легко настроить. Просто добавьте указанную выше зависимость в свой pom, а затем добавьте следующую конфигурацию в раздел webapp вашего файла web.xml.
<filter>
<filter-name>CORS</filter-name>
<filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
<init-param>
<param-name>cors.allowGenericHttpRequests</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.allowOrigin</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.allowSubdomains</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>cors.supportedMethods</param-name>
<param-value>GET, HEAD, POST, DELETE, OPTIONS</param-value>
</init-param>
<init-param>
<param-name>cors.supportedHeaders</param-name>
<param-value>*</param-value>
</init-param>
<init-param>
<param-name>cors.supportsCredentials</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>cors.maxAge</param-name>
<param-value>3600</param-value>
</init-param>
</filter>
<filter-mapping>
<!-- CORS Filter mapping -->
<filter-name>CORS</filter-name>
<url-pattern>*</url-pattern>
</filter-mapping>
Вы также можете настроить его с помощью файла свойств, если хотите. Эта библиотека работает как шарм и дает вам большую гибкость конфигурации!
The 'Access-Control-Allow-Origin' header contains multiple values 'http://127.0.0.1, *', but only one is allowed. Идея, что нужно изменить в файле web.xml, чтобы сделать его правильным?
- person Ayyoub; 22.07.2015
Ни один из других ответов не работал у меня, но это сработало:
import javax.ws.rs.core.Response;
Затем измените тип возвращаемого значения метода службы на Response и измените оператор return на:
return Response.ok(resp).header("Access-Control-Allow-Origin", "*").build();
Где resp — исходный объект ответа.
Вы также можете реализовать javax.ws.rs.core.Feature, как показано ниже, для реализации CORS.
import javax.ws.rs.core.Feature;
import javax.ws.rs.core.FeatureContext;
import javax.ws.rs.ext.Provider;
import org.jboss.resteasy.plugins.interceptors.CorsFilter;
@Provider
public class CorsFeature implements Feature {
@Override
public boolean configure(FeatureContext context) {
CorsFilter corsFilter = new CorsFilter();
corsFilter.getAllowedOrigins().add("*");
context.register(corsFilter);
return true;
}
}
Решение для этого добавляет некоторый заголовок в ответ. В весенней или весенней загрузке есть аннотации, но в более старой системе аннотаций может и не быть. Вы можете решить, добавив фильтр.
package com.koushik.restapis.intercepter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
public class RestCorsFilter implements Filter {
@Override
public void destroy() {
enter code here
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletResponse resp = (HttpServletResponse) response;
resp.addHeader("Access-Control-Allow-Origin", "*");
resp.addHeader("Access-Control-Allow-Headers", "*");
resp.addHeader("Access-Control-Allow-Methods", "*");
chain.doFilter(request, resp);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
}
}
<filter>
<filter-name>RestCorsFilter</filter-name>
<filter-class>com.koushik.restapis.RestCorsFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>RestCorsFilter</filter-name>
<url-pattern>/apis/*</url-pattern>
</filter-mapping>
Ответ @Joel Pearson помог, но для тех, кто плохо знаком с JAX-RS, таких как я, и запускает службу на tomcat путем настройки web.xml, следует быть осторожным при создании класса и размещении его в любом месте проекта. См. указанный вами пакет для джерси и создайте там этот класс фильтра. Таким образом, это сработало для меня.
Просто чтобы добавить что-то к другим ответам. Разрешение * немного опасно. Что можно сделать, так это настроить базу данных разрешенного происхождения (это может быть файл)
Затем, когда придет запрос, вы можете сделать:
// this will return you the origin
String[] referers = requestContext.getHeaders().get("referer")
// then search in your DB if the origin is allowed
if (referers != null && referers.lenght == 1 && isAllowedOriging(referers[0])) {
containerResponseContext.getHeaders().add("Access-Control-Allow-Origin", referers[0]);
containerResponseContext.getHeaders().add("Access-Control-Allow-Headers", "origin, content-type, accept, authorization, <HERE PUT YOUR DEDICATED HEADERS>);
containerResponseContext.getHeaders().add("Access-Control-Allow-Credentials", "true");
containerResponseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS, HEAD");
containerResponseContext.getHeaders().add("Access-Control-Max-Age", "1209600");
}
Таким образом, вы не позволите всем.
