对于任何使用API网关的HTTP API和代理路由ANY /{proxy+}的人

为了使CORS工作，您需要显式地定义路由方法。

我希望在AWS文档中更明确地为HTTP API配置CORS

我和AWS支持人员打了两个小时的电话，他们把他们的一个高级HTTP API开发人员圈了进来，他提出了这个建议。

禁用Chrome安全。

创建Chrome快捷方式:右键单击→属性→目标。"C:\Program Files (x86)\谷歌\Chrome\Application\ Chrome .exe"——disable-web-security——user-data-dir=" C: /chromedev"

当DNS服务器设置为8.8.8.8(谷歌’s)时，我遇到过这个问题。事实上，问题出在路由器上。我的应用程序试图通过谷歌连接服务器，而不是本地连接(对于我的特定情况)。

我已经删除了8.8.8.8，这解决了这个问题。我知道CORS设置解决了这个问题，但是可能有人会遇到和我一样的问题。

检查请求是否发送到正确的端点。在我的Node.js项目中，我提到了错误的端点，请求将前往/api/txn/12345，端点是/api/txn而不是/api/txn/:txnId，这导致了这个错误。

跨源资源共享(Cross-Origin Resource Sharing, CORS)是一种基于http头的机制，它允许服务器指明浏览器应该允许加载资源的任何源(域、方案或端口)，而不是它自己的源

来自跨原产地资源共享(CORS)

简而言之，网络服务器会告诉你(你的浏览器)你应该信任哪些网站。

Scammysite。Bad尝试告诉浏览器向good-api-site.good发送请求 good-api-site。Good告诉浏览器它应该只信任other-good-site.good 你的浏览器说你真的不应该相信诈骗网站。Bad对good-api-site的请求。很好，CORS救了你。

如果你正在创建一个网站，你真的不关心谁与你集成。犁。在ACL中设置*。

但是，如果您正在创建一个站点，并且只允许站点X，甚至站点X、Y和Z，则使用CORS指示客户端浏览器只信任这些站点与您的站点集成。

浏览器当然可以选择忽略这一点。再次强调，CORS保护的是你的客户，而不是你。

CORS允许定义*或一个站点。这可能会限制你，但你可以通过在你的web服务器上添加一些动态配置来解决这个问题——并帮助你变得具体。

这是一个关于如何在Apache中为每个站点配置CORS的示例:

# Save the entire "Origin" header in Apache environment variable "AccessControlAllowOrigin"
# Expand the regex to match your desired "good" sites / sites you trust
SetEnvIfNoCase Origin "^https://(other-good-site\.good|one-more-good.site)$" AccessControlAllowOrigin=$0
# Assuming you server multiple sites, ensure you apply only to this specific site
<If "%{HTTP_HOST} == 'good-api-site.com'">
    # Remove headers to ensure that they are explicitly set
    Header        unset Access-Control-Allow-Origin   env=AccessControlAllowOrigin
    Header        unset Access-Control-Allow-Methods  env=AccessControlAllowOrigin
    Header        unset Access-Control-Allow-Headers  env=AccessControlAllowOrigin
    Header        unset Access-Control-Expose-Headers env=AccessControlAllowOrigin
    # Add headers "always" to ensure that they are explicitly set
    # The value of the "Access-Control-Allow-Origin" header will be the contents saved in the "AccessControlAllowOrigin" environment variable
    Header always set Access-Control-Allow-Origin   %{AccessControlAllowOrigin}e     env=AccessControlAllowOrigin
    # Adapt the below to your use case
    Header always set Access-Control-Allow-Methods  "POST, GET, OPTIONS, PUT"        env=AccessControlAllowOrigin
    Header always set Access-Control-Allow-Headers  "X-Requested-With,Authorization" env=AccessControlAllowOrigin
    Header always set Access-Control-Expose-Headers "X-Requested-With,Authorization" env=AccessControlAllowOrigin
</If>

使用API网关中的CORS选项，我使用了上面所示的以下设置。

另外，请注意，函数必须返回HTTP状态200以响应OPTIONS请求，否则CORS也会失败。