对于任何使用API网关的HTTP API和代理路由ANY /{proxy+}的人

为了使CORS工作，您需要显式地定义路由方法。

我希望在AWS文档中更明确地为HTTP API配置CORS

我和AWS支持人员打了两个小时的电话，他们把他们的一个高级HTTP API开发人员圈了进来，他提出了这个建议。

要修复Node.js应用程序中的跨源请求问题:

npm i cors

然后简单地将下面的代码添加到app.js文件中:

let cors = require('cors')
app.use(cors())

我让它工作，添加选项方法到Access-Control-Allow-Methods:

Access-Control-Allow-Methods: GET, OPTIONS

但是!同样，这在Chrome和Firefox中都有效，但遗憾的是在Chromium中行不通。

“对飞行前请求的响应没有通过访问控制检查”正是问题所在:

在发出实际的GET请求之前，浏览器会检查服务是否为CORS正确配置。这是通过检查服务是否接受实际请求将使用的方法和头来完成的。因此，允许从不同的来源访问服务是不够的，还必须满足其他必要条件。

将报头设置为

Header always set Access-Control-Allow-Origin: www.example.com 
Header always set Access-Control-Allow-Methods: GET, POST, PUT, PATCH, POST, DELETE, OPTIONS 
Header always set Access-Control-Allow-Headers: Content-Type #etc...

这还不够。你必须添加一个重写规则:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]

飞行前的一个伟大的读响应没有HTTP ok状态。

我的“API服务器”是一个PHP应用程序，所以为了解决这个问题，我发现下面的解决方案可以工作:

将这些行放入index.php文件中:

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PATCH, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Origin, Content-Type, X-Auth-Token');

禁用Chrome安全。

创建Chrome快捷方式:右键单击→属性→目标。"C:\Program Files (x86)\谷歌\Chrome\Application\ Chrome .exe"——disable-web-security——user-data-dir=" C: /chromedev"