昨天折腾发现了一个问题,脑袋一热,没找到根源就发了帖子 https://www.v2ex.com/t/861503 ,最后发现是 CORS 的问题。但是新的问题又来了。
使用的是 Tomcat 8.5 ,用了官方的 CORS 。其中有一段代码是这样的
} else if ("POST".equals(method)) {
String mediaType = getMediaType(request.getContentType());
if (mediaType != null) {
if (SIMPLE_HTTP_REQUEST_CONTENT_TYPE_VALUES.contains(mediaType)) {
requestType = CORSRequestType.SIMPLE;
} else {
requestType = CORSRequestType.ACTUAL;
}
}
} else {
其中 SIMPLE_HTTP_REQUEST_CONTENT_TYPE_VALUES 是 application/x-www-form-urlencoded, multipart/form-data, text/plain 其中之一; CORSRequestType 默认是 INVALID_CORS ,也就是返回 403 的情况。
所以结论就是如果 POST 方法,Header 没有 Content-Type ,mediaType==null ,则走向了 403 ,解释了原帖的疑惑。可是问题根源在哪里呢?
系统使用了比较古老的 JQuery 1.12 ,其中的片段是这样的:
// Set the correct header, if data is being sent
if ( s.data && s.hasContent && s.contentType !== false || options.contentType ) {
jqXHR.setRequestHeader( "Content-Type", s.contentType );
}
这就是如果 data=="",那就不设置 Content-Type 。另外,POST 通过 querystring 提供了一些数据,所以 s.hasContent==true 。
一个驴唇,一个马嘴,还真对上了🤣。一个是 POST 不见 Content-Type 就觉得不安全,一个是没有实际 data 就不搞 Content-Type 。而实际上 POST 是可以没有内容以及没有 Content-Type 的吧。
那么怎么解决呢??
CORS 和 JQUERY 两方的原则是啥?改谁?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.