我正在尝试在Wildfly服务器上发出REST请求。首先,我必须登录旧应用程序并获取cookie。该cookie必须在较新的应用程序中使用 这会产生REST请求。新应用程序是真实存在的一些模板。我在REST请求的标题中尝试了一些选项,例如设置属性withCredentials,Access-Control-Allow-Credentials,token,crossDomain,如下面的函数getAllEntities所示。
REST请求经过测试,在Firefox浏览器上与RestClient配合使用,如下所示。
我不知道如何:
插入我从之前的应用程序中获取的cookie
删除令牌(似乎这是不可能的)
解决这两个用标题
这是请求在RestClient中的样子:
Method: GET
URL: https://xx.xx.xx.xx:8443/api/codes
Content-Type: application/json
Accept: application/json
Cookie: code_system_frontend=bvkkvbcp24igdgja4h5hht13p4; code=ae8be9267e8dfea86a8f54f6bd980733
这是RestClient中响应的样子:
Status Code: 200 OK
Access-Control-Allow-Headers: Content-Type, Content-Disposition, Accept, responseType, X-MAC, X-TIME, Cookie
Access-Control-Allow-Methods: GET, POST, DELETE, PUT, OPTIONS
Access-Control-Allow-Origin: *
Access-Control-Expose-Headers: Content-Type, Content-Disposition, Accept
Connection: keep-alive
Content-Type: application/json
Date: Tue, 26 Jul 2016 15:22:00 GMT
Server: WildFly/9
Transfer-Encoding: chunked
access-control-allow-credentials: true
x-powered-by: Undertow/1
和典型的JSON响应正文:
[
{
"code": 1,
"codename": "Demo"
},
{
"code": 2,
"codename": "Gmx"
}
//AND SO ON
]
这是Angularjs中的代码:
function getAllEntities(entityName, addToCache) {
config = {
headers: {
'cookie':'code_system_frontend=bvkkvbcp24igdgja4h5hht13p4;code=ae8be9267e8dfea86a8f54f6bd980733',
'Content-Type': 'application/json',
'Accept': 'application/json',
'withCredentials':'true',
//'Access-Control-Allow-Credentials': 'true',
//'X-API-TOKEN': undefined,
//'token':undefined,
//crossDomain: true
},
data: ''
};
return $http.get(endPoints.api + entityName, config)
.then(getAllEntitiesComplete)
.catch(function (message) {
exception.catcher('XHR Failed for getAllEntities for entity ' + entityName)(message);
return $q.reject(message);
logger.info('Message ' + message);
});
function getAllEntitiesComplete(data, status, headers, config) {
var entities = data.data;
if (addToCache) {
service.cachedLookups[entityName] = entities;
service[entityName + 's'] = entities;
}
return entities;
}
}
在Firebug中我得到:
请求Firebug中的标题:
Accept: application/json
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.5
Content-Type: application/json
Host: XX.XX.XX.XX:8443
Origin http://admin.dev.xxxxxxxx.xxx
Referer http://admin.dev.xxxxxxxx.xxx/xx/codes
User-Agent Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
token fake token for anonymous user
withCredentials true
我也在Firebug中收到警告:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the
remote resource at https://xx.xx.xx.xx:8443/xxxxxxxx/api/code. (Reason:
CORS header 'Access-Control-Allow-Origin' does not match '*').
由于我的代码,我收到此错误:
Error: XHR Failed for getAllEntities for entity suborder Object { status=0, config={...}, data=null, more...}
在克罗姆,我得到:
Refused to set unsafe header "cookie"
和
net::ERR_INSECURE_RESPONSE
答案 0 :(得分:1)
阻止跨源请求:同源策略禁止读取 https://xx.xx.xx.xx:8443/xxxxxxxx/api/code处的远程资源。 (原因:CORS标题' Access-Control-Allow-Origin'不匹配 ' *'。)
您的服务器上似乎没有启用跨源资源共享(CORS),或者配置错误。
关于标题问题,您应该查看该帖子:
AJAX post error : Refused to set unsafe header "Connection"
XMLHttpRequest不允许设置这些标头,它们正在设置中 由浏览器自动完成。原因是通过操纵这些 你可能会欺骗服务器接受第二个 请求通过相同的连接,一个不会通过的连接 通常的安全检查 - 这将是一个安全漏洞 浏览器。
如果您使用的是Cookie,则Cookie会自动与每个请求一起发送,特别是如果您已设置withCredentials = true。
但是,如果您使用的是令牌,则必须将它们添加到授权标题中,通常采用以下格式:" Bearer" + mytoken