CORS问题:获取错误"No'Access-Control-Allow-Origin'标题存在"实际存在时

Question

CORS问题:获取错误"No'Access-Control-Allow-Origin'标题存在"实际存在时

cha*_*doh 11 javascript jquery ruby-on-rails http cors

我怀疑为我的应用程序提供服务的后端非常重要,但是如果你关心,我会使用带有Rails 4.0应用程序的机架.

使用jQuery,我向我的应用程序PATCH发送如下请求:

$.ajax({
  url: "http://example.com/whatever",
  type: "PATCH",
  data: { something: "something else" }
})

Run Code Online (Sandbox Code Playgroud)

当我从Chrome触发此来电时,我看到一个成功的OPTIONS请求,我会从服务器返回这些标题:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:accept, content-type
Access-Control-Allow-Methods:GET, PUT, PATCH, OPTIONS
Access-Control-Allow-Origin: http://sending-app.localhost:3000
Access-Control-Expose-Headers:
Access-Control-Max-Age:15

Run Code Online (Sandbox Code Playgroud)

然后我看到一个PATCH请求出去,这引发了这个错误:

XMLHttpRequest无法加载http://example.com/whatever.请求的资源上不存在"Access-Control-Allow-Origin"标头.因此不允许来源' http://sending-app.localhost:3000 '访问.

我尝试过切换PATCH到PUT相同的结果.

这对我没有任何意义.这是怎么回事？

更新:我的config/application.rb

我认为标题告诉整个故事,但由于人们感到困惑,这是我的config/application.rb文件,这是Rails的rack-cors插件的配置方式:

config.middleware.use Rack::Cors do
  allow do
    origins '*'
    resource '*',
      :headers => :any,
      :methods => [:get, :put, :patch, :options],
      :max_age => 15
  end
end

Run Code Online (Sandbox Code Playgroud)

Answer 1

bra*_*ert 7

在操作中排除Rails CSRF检查;)

也就是说,Rails使用更新/创建请求检查真实性令牌.在您的Rails应用程序中,此令牌将添加到您的所有表单中.但是对于javascript请求,包括它是棘手的.

您可以通过将其添加到控制器来跳过检查操作:

skip_before_filter :verify_authenticity_token, :only => [:update]

Run Code Online (Sandbox Code Playgroud)

顺便说一句,您的问题与CORS无关,您在浏览器中收到错误的错误消息.Rails日志讲述了真实的故事.

快进到 2018 年，现在是 Rails 5 的“skip_before_action”（技术上也有 Rails 4）。 (3认同)
-1为什么当你可以简单地将csrf标记附加到所有ajax发送时跳过csrf(在下面发布答案) (2认同)
为什么-1？这是问题的解决方案.该请求来自一个不知道CSRF令牌的单独应用程序. (2认同)
因为解决办法是禁用csrf。这听起来像是一个安全漏洞。但是，如果它是经过身份验证的请求，那听起来没问题。 (2认同)

归档时间：	11 年，8 月前
查看次数：	18308 次
最近记录：	9 年，1 月前