图片背景概述公司安全测试要求接口的请求方法只能是GET, POST,并且响应头也只能为GET, POST.问题描述在了解到这个需求后,我在过滤器对所有进入服务的请求统一设置响应头:@WebFilter(...,将 Access-Control-Allow-Methods 设置为GET,POST 就可以轻松实现测试提出的,响应头只能为GET, POST的需求.这段代码帮我解决了大部分问题,我在自测时“GET,...HEAD,POST,PUT,DELETE,OPTIONS”它们的响应头都成功返回了 GET、POST。...贴一张 OPTIONS 请求的截图,他的Allow-Methos成功的返回了 GET,POST.图片到这你是不是觉得问题就已经解决了?...并没有,事情没这么简单,测试很快就让我打脸了,请看下图,当 uri 改为 * 时,Allow 的返回值让我不敢相信自己的眼睛。