相关疑难解决方法(0)

我在两个不同的域中有两个webapps WebApp1和WebApp2.

1. 我在HttpResponse中的WebApp1中设置了一个cookie.
2. 如何从WebApp2中的HttpRequest读取相同的cookie？

我知道这听起来很奇怪,因为cookie特定于某个域,我们无法从不同的域访问它们; 我听说过CROSS-DOMAIN cookie可以在多个webapps之间共享.如何使用CROSS-DOMAIN cookie实现此要求？

注意:我正在尝试使用J2EE webapps

我正在使用Angular 4 HttpClient向外部服务发送请求.这是一个非常标准的设置:

this.httpClient.get(url).subscribe(response => {
  //do something with response
}, err => {
  console.log(err.message);
}, () => {
  console.log('completed');
}

问题是,当请求失败时,我Http failure response for (unknown url): 0 Unknown Error在控制台中看到一条通用 消息.同时,当我在chrome中检查失败的请求时,我可以看到响应状态为422,并且在"预览"选项卡中,我看到实际的消息描述失败原因.

如何访问我在chrome dev工具中看到的实际响应消息？

这是一个展示问题的屏幕截图:

我使用ASP.NET Web API编写了REST服务.我正在尝试发送HttpDelete请求,但是我收到以下错误:

405 - 不允许用于访问此页面的HTTP动词

我认为我接近解决方案,我发现我应该启用IIS远程管理,转到Handler Mappings部分并将DELETE动词添加到适当的位置......但问题是有很多不同的位置列表......(就像这里:http://www.somacon.com/p126.php).

我应该编辑哪一个？其中很少没有扩展,例如"ExtensionUrlHandler-Integrated-4.0",我添加了DELETE动词,但它仍然不起作用......

修改那个只是在黑暗中拍摄,所以我应该修改不同的位置吗？如果是这样,哪一个？或者还有什么我应该做的？

相同的Web服务在我的本地服务上工作得很好,所以我猜问题是远程IIS ...

问候

我正在开发一个JSON/REST Web API,我特别希望第三方网站能够通过AJAX调用我的服务.因此,我的服务是发送着名的CORS标题:

Access-Control-Allow-Origin: *

这允许第三方站点通过AJAX调用我的服务.到目前为止都很好.

但是,我的web api的一个子部分是非公开的,需要身份验证(OAuth和access_token cookie非常标准).在我的网站的这一部分启用CORS是否安全？

一方面,如果第三方网站可以拥有也与我的这部分服务进行交互的ajax客户端,那将会很酷.但是,首先存在相同原产地政策的原因是这可能存在风险.您不希望之后访问的任何网站能够访问您的私人内容.

我担心的情况是用户登录我的网络API,无论是在网站上还是通过他信任的网站,他忘记退出.这会允许他之后使用现有会话访问其私人内容吗？

所以我的问题:

• 在非公开内容上启用CORS是否安全？
• 如果启用CORS的服务器通过cookie设置session_token,该cookie是否会保存在CORS服务器或主网页服务器的域下？

我在多个子域(example.com,blog.example.com和app.example.com)上有一个通用的身份验证表单.登录表单必须将此数据提交给example.com而不管它在何处显示,所以我想到了使用CORS,但是这个:

header("Access-Control-Allow-Origin: http://example.com http://blog.example.com http://app.example.com")

不起作用

所以我想做下一件事,并在服务器端手动检查Origin标头,并允许Access-Control-Allow-Origin: *可以进行请求,但不幸的是,这在MDN中出现了

重要说明:在响应凭证请求时,服务器必须指定域,并且不能使用通配符.

有没有办法让我的请求跨多个域工作,仍然使用CORS发送凭据？

我正在尝试使用颤振网络。我尝试使用 http 包将我创建的一个简单的 Flutter Web 应用程序连接到 mysql 数据库和 localhost。但是我没有从请求方法返回任何数据。当我试图打印出snaphot.error我得到这个：XMLHttpRequest error。我有这个方法FutureBuilder()

getMethod()async{
  String theUrl = 'https://localhost/fetchData.php';
  var res = await http.get(Uri.encodeFull(theUrl),headers: {"Accept":"application/json"});
  var responsBody = json.decode(res.body);
  print(responsBody);
  return responsBody;

}

我想创建一个API,并对API消费者进行身份验证,我将提供API KEY,App-id和App-Secret.问题是我想知道http请求的来源,以便我可以知道发出que请求的主机是否是注册的主机.例如:www.someone.com有一个app-id:0001,app-secret:1200和api-key:458.如果此凭据用于发出A请求,我想知道请求者是否真的是www.someone.com

启用CORS有几个安全问题:

• CSRF
• 暴露受保护的数据

但是,对于支持全局CORS的公共和只读Web服务,我有什么问题吗？

Access-Control-Allow-Origin: *

我的假设:

• CSRF不相关,因为webservice是readonly.
• 窃取受保护的数据是不相关的,因为Web服务是公开的.

尝试以角度调用弹簧静止终点时出现以下错误。

Origin http://localhost:4200 has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource

错误图像：

我遇到一个问题，POST端点在 Postman 中运行时返回响应，但在浏览器中运行时不返回响应。

我已经通过无服务器在 AWS 上设置了一个 API 端点。这是 .yml 配置：

service: tableau-export-rest

provider:
  name: aws
  runtime: nodejs10.x
  region: eu-west-1
  stage: ${opt:stage, 'dev'}
  timeout: 900
  memorySize: 3008

functions:
  storeExportFiters:
    handler: index.storeExportFiters  
    events:
      - http: 
          path: /store-export-filters
          method: post
          cors: true 

端点解析器storeExportFiters（这是一个 lambda）现在只返回一条成功消息：

module.exports = (event, ctx, cb) => {
  return cb(null, {
    statusCode: 200,
    body: JSON.stringify({
      worked: true
    })
  });
}

当我将其部署到 AWS 并尝试通过POST没有正文或任何内容的请求从 Postman 访问端点时，它向我发送的响应很好。当我尝试在浏览器中执行此操作时，我收到错误cors：

从源“ http://localhost:9003 ”访问“ https://myapi.com/store-export-filters ”处的 XMLHttpRequest已被 CORS …