CORS не пропускает PUT запрос?

Question

[nick32]

Обращаюсь через fetch к серверу на jetty.
Ответ содержит заголовки:
resp.addHeader("Access-Control-Allow-Origin", "*");
resp.addHeader("Access-Control-Allow-Methods", "PUT");
resp.addHeader("Access-Control-Allow-Headers", "Content-Type");
Но браузер выдает
Fetch API cannot load localhost:8081/admin/country. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'localhost:63343' is therefore not allowed access. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.
index.html:1 Uncaught (in promise) TypeError: Failed to fetch
С GET работает нормально.
В чем причина такого странного поведения браузера?

Comments

[RidgeA]

посмотри в отправляемые запросы.
Возможно перед отправкой запроса PUT отправляется еще OPTIONS - который и отфутболивается сервером.
Но, по идее, между разными портами localhost CORS вообще быть не должно, т.к. домен один. Порт не имеет значения.

[nick32]

RidgeA, попробовал. Теперь тескт ошибки такой: Fetch API cannot load localhost:8081/admin/country. Method PUT is not allowed by Access-Control-Allow-Methods in preflight response.

[RidgeA]

nick32, ну я же не знаю что ты пробовал и в томкате я не силен. Это было скорее попытка подсказать направление для дальнейших поисков. Так что ....

Answer 1

[Борис Черепанов]

Прочитайте эту статью про CORS
Возможно с PUT вы пытаетесь передать заголовки или авторизоваться. В этом случае у вас должен быть установлен https и заголовки ответа:

Access-Control-Allow-Credentials: true // Можно ли авторизовываться или нет
Access-Control-Allow-Origin: https://localhost:63343
Access-Control-Allow-Methods: PUT, OPTIONS
Access-Control-Allow-Headers: Content-Type, ... прочие заголовки, например Authorization или тот в котором логин и пароль