1. 首页
  2. 问答
  3. 拒绝在AngularJS中设置不安全标题“cookie”和net :: ERR_INSECURE_RESPONSE

拒绝在AngularJS中设置不安全标题“cookie”和net :: ERR_INSECURE_RESPONSE

2016-07-26 144 views
0

我试图在Wildfly服务器上发出REST请求。首先,我必须登录旧应用程序并获取cookie。该cookie必须用于产生REST请求的较新应用程序 。新的应用程序是来自现有的一些模板。我尝试了一些REST请求的头部选项,如设置属性withCredentials,Access-Control-Allow-Credentials,令牌,crossDomain,如函数getAllEntities所示。拒绝在AngularJS中设置不安全标题“cookie”和net :: ERR_INSECURE_RESPONSE

在经过测试的REST请求中,它们与Firefox浏览器上的RestClient一起正常工作,如下所示。

我不知道如何:

  • 插入饼干这是我从以前的应用程序获得

  • 删除令牌(看来这是不可能的)

  • 解决这两个错误,这些错误写在标题

这是如何请求看起来像RESTClient实现:

Method: GET 
URL: https://xx.xx.xx.xx:8443/api/codes 
Content-Type: application/json 
Accept: application/json 
Cookie: code_system_frontend=bvkkvbcp24igdgja4h5hht13p4; code=ae8be9267e8dfea86a8f54f6bd980733

这是怎么回应看起来像RESTClient实现:

Status Code: 200 OK 
Access-Control-Allow-Headers: Content-Type, Content-Disposition, Accept, responseType, X-MAC, X-TIME, Cookie 
Access-Control-Allow-Methods: GET, POST, DELETE, PUT, OPTIONS 
Access-Control-Allow-Origin: * 
Access-Control-Expose-Headers: Content-Type, Content-Disposition, Accept 
Connection: keep-alive 
Content-Type: application/json 
Date: Tue, 26 Jul 2016 15:22:00 GMT 
Server: WildFly/9 
Transfer-Encoding: chunked 
access-control-allow-credentials: true 
x-powered-by: Undertow/1

和典型的JSON响应体:

[ 
    { 
     "code": 1, 
     "codename": "Demo" 
    }, 
    { 
     "code": 2, 
     "codename": "Gmx" 
    } 
    //AND SO ON 
]

这是代码Angularjs:

function getAllEntities(entityName, addToCache) { 
    config = { 
     headers: { 

       'cookie':'code_system_frontend=bvkkvbcp24igdgja4h5hht13p4;code=ae8be9267e8dfea86a8f54f6bd980733', 
       'Content-Type': 'application/json', 
       'Accept': 'application/json', 
       'withCredentials':'true', 
       //'Access-Control-Allow-Credentials': 'true', 
       //'X-API-TOKEN': undefined, 
       //'token':undefined, 
       //crossDomain: true 
      }, 
      data: '' 
     }; 

     return $http.get(endPoints.api + entityName, config) 
      .then(getAllEntitiesComplete) 
      .catch(function (message) { 
       exception.catcher('XHR Failed for getAllEntities for entity ' + entityName)(message); 
       return $q.reject(message); 
       logger.info('Message ' + message); 
      }); 

     function getAllEntitiesComplete(data, status, headers, config) { 

      var entities = data.data; 

      if (addToCache) { 
       service.cachedLookups[entityName] = entities; 
       service[entityName + 's'] = entities; 
      } 
      return entities; 
     } 
    }

在Firebug中,我得到:

请求头中的萤火虫:

Accept: application/json 
Accept-Encoding: gzip, deflate, br 
Accept-Language: en-US,en;q=0.5 
Content-Type: application/json 
Host: XX.XX.XX.XX:8443 
Origin http://admin.dev.xxxxxxxx.xxx 
Referer http://admin.dev.xxxxxxxx.xxx/xx/codes 
User-Agent Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0 
token fake token for anonymous user 
withCredentials true

而且我也得到萤火虫警告:

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the 
remote resource at https://xx.xx.xx.xx:8443/xxxxxxxx/api/code. (Reason: 
CORS header 'Access-Control-Allow-Origin' does not match '*').

而且我得到的,因为我的代码此错误:

Error: XHR Failed for getAllEntities for entity suborder Object { status=0, config={...}, data=null, more...}

在克罗姆我得到:

Refused to set unsafe header "cookie" 


net::ERR_INSECURE_RESPONSE

来源

2016-07-26 wanttobeprofessional

回答

1

跨来源请求阻止:同源策略不允许读 远程资源的https://xx.xx.xx.xx:8443/xxxxxxxx/api/code。 (原因:CORS头'Access-Control-Allow-Origin'不匹配 '*')。

看起来您似乎没有在您的服务器上启用跨源资源共享(CORS)或者它的配置错误。

关于标题的问题,你应该看看那个帖子:

AJAX post error : Refused to set unsafe header "Connection"

的XMLHttpRequest不允许设置这些标题,他们正在通过浏览器设置 自动。原因是通过操纵这些 标头,您可能会诱使服务器通过相同的连接接受第二个 请求,而不是通过 常规安全检查 - 这将是 中的安全漏洞浏览器。

如果您使用的是cookie,那么每个请求都会自动发送cookie,特别是如果您设置了withCredentials = true。

如果您正在使用但令牌,你必须将它们添加到Authorization头,一般格式为:“承载” +即为MyToken

来源

2016-08-04 11:29:44 Darxtar

相关问题

 相关问题