那些遇到过的问题

CORS:当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符

ixa*_*aar 254 django ajax node.js cors django-cors-headers

我有一个涉及的设置

前端服务器(Node.js,domain:localhost:3000)<--->后端(Django,Ajax,域:localhost:8000)

浏览器< - webapp < - Node.js(服务应用)

浏览器(webapp) - > Ajax - > Django(服务ajax POST请求)

现在,我的问题在于CORS设置,webapp使用它来向后端服务器进行Ajax调用.在chrome中,我一直在努力

当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符.

在Firefox上也不起作用.

我的Node.js设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};
Run Code Online (Sandbox Code Playgroud)

而在Django我使用这个中间件 与此相伴

webapp发出如下请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});
Run Code Online (Sandbox Code Playgroud)

因此,webapp发送的请求标头如下所示:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"
Run Code Online (Sandbox Code Playgroud)

这是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json
Run Code Online (Sandbox Code Playgroud)

我哪里错了?!

编辑1:我一直在使用chrome --disable-web-security,但现在想要实际工作.

编辑2:答案:

所以,我的解决方案django-cors-headers配置:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)
Run Code Online (Sandbox Code Playgroud)

use*_*109 221

这是安全的一部分,你不能这样做.如果您想允许凭据,则Access-Control-Allow-Origin不得使用*.您必须指定确切的协议+域+端口.供参考,请参阅以下问题:

  1. Access-Control-Allow-Origin通配符子域,端口和协议
  2. 使用凭证进行跨源资源共享

除了*过于宽容并且会失败使用凭证.所以设置http://localhost:3000http://localhost:8000允许原始标题.

  • 但是,如果有多个域名呢? (36认同)
  • @ user568109你能解释一下"除了```太过宽松,会打败凭证的使用."? (11认同)
  • @aroth您可以提供域名列表.相关问题:http://stackoverflow.com/questions/1653308/access-control-allow-origin-multiple-origin-domains (10认同)
  • 如果请求来自移动设备,那么"确切的域名"是什么,就像Cordova可能发生的那样? (10认同)
  • @Christian有点老,但是如果有人仍然好奇,此问题仅发生在运行于浏览器上的应用程序,因为出于安全原因浏览器会抛出此错误。使用HTTP客户端发出请求的其他客户端(例如移动应用,邮递员或任何其他后端代码)将不会出现此问题,因此您不必担心来源和“确切域名”。 (5认同)
  • 对于多个域,请像这样使用它:response.setHeader("Access-Control-Allow-Origin", request.getHeader("Origin")); (3认同)
  • 好的,那么服务器到底如何知道是否应该发送“*”呢? (2认同)

Ham*_*mid 24

如果您使用CORS中间件并且想要发送withCredential布尔值true,则可以像这样配置CORS:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));
Run Code Online (Sandbox Code Playgroud)

Chr*_*sen 21

扩展@Renaud 的想法,cors 现在提供了一种非常简单的方法来做到这一点:

此处找到的 cors 官方文档:

" origin:配置 Access-Control-Allow-Origin CORS 标头。可能的值: Boolean - 将 origin 设置为 true 以反映请求来源,如 req.header('Origin') 所定义,或将其设置为 false 以禁用 CORS .

因此,我们只需执行以下操作:

const app = express();
const corsConfig = {
    credentials: true,
    origin: true,
};
app.use(cors(corsConfig));
Run Code Online (Sandbox Code Playgroud)

最后,我认为值得一提的是,在某些用例中,我们希望允许来自任何人的跨源请求;例如,在构建公共 REST API 时。

注意:我希望将此作为对他的回答的评论,但不幸的是我没有声誉点。

Bul*_*kan 14

如果您正在使用,express您可以使用cors包来允许CORS,而不是编写您的中间件;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});
Run Code Online (Sandbox Code Playgroud)

  • 啊,现在这更方便,但结果是一样的:(顺便说一句,我正在使用`app.use(cors({credentials:true}));; (11认同)
  • 阅读本文档后:https://github.com/expressjs/corsuse我使用此配置:app.use(cors({credentials:true,origin:'http:// localhost:3001'})); 正在为我工​​作. (4认同)

小智 9

试试吧:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));
Run Code Online (Sandbox Code Playgroud)

Ren*_*aud 6

这在开发中对我有用,但我不能建议在生产中,这只是完成工作的一种不同方式,尚未提到但可能不是最好的。无论如何,这里是:

您可以从请求中获取源,然后在响应标头中使用它。这是它在 express 中的样子:

app.use(function(req, res, next) {
  res.header('Access-Control-Allow-Origin', req.header('origin') );
  next();
});
Run Code Online (Sandbox Code Playgroud)

我不知道你的 python 设置会是什么样子,但这应该很容易翻译。

Squ*_*rrl 5

如果您想允许所有来源并保持凭据真实,这对我有用:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

356444 次

最近记录:

6 年 前
Access-Control-Allow-Origin多个源域? 985
Access-Control-Allow-Origin通配符子域,端口和协议 285
使用凭证进行跨源资源共享 29
为什么这个CORS请求仅在Firefox中失败? 22
即使我在服务器上允许使用cors,Socket.io也会出现CORS错误 10
更多相关链接
相关归档
"-g"标志在命令"npm install -g <something>"中做了什么? 51
node.js使用zeromq与Python与Java相比的性能 29
循环问题中的jQuery ajax 19
通过Node.js将文档插入MongoDB时出错 15
使用supertest测试下载是否成功 15
dotenv文件未加载环境变量 15
什么是django-celery(djcelery)表? 14
Canvas.toDataURL()在除IE10之外的所有浏览器中工作 13
使用Node.js编写Shell脚本 11
Selenium WaitDriver不等待元素可点击 6
难疑归档
你如何创建一个远程Git分支? 3030
如何迭代字符串的单词? 2895
如何测试空的JavaScript对象? 2730
删除文件或文件夹 1910
如何停止跟踪并忽略Git中文件的更改? 1634
如何在Linux中更改echo的输出颜色 1582
如何垂直对齐div内的图像? 1371
安全地将JSON字符串转换为对象 1298
Tab键== 4个空格并在Vim中的花括号后自动缩进 1224
如何列出包含给定提交的分支? 1029