对飞行前请求的响应没有通过访问控制检查

我使用ngResource在亚马逊Web服务上调用REST API得到这个错误:

XMLHttpRequest无法加载 http://server.apiurl.com: 8000 / s /登录吗? =登录facebook。应对飞行前请求未通过门禁检查:否 'Access-Control-Allow-Origin'头出现在被请求的对象上资源。因此，来源“http://localhost”不允许访问。错误405

服务:

socialMarkt.factory('loginService', ['$resource', function ($resource) {
    var apiAddress = "http://server.apiurl.com:8000/s/login/";
    return $resource(apiAddress, {
        login: "facebook",
        access_token: "@access_token",
        facebook_id: "@facebook_id"
    }, {
        getUser: {
            method: 'POST'
        }
    });
}]);

控制器:

[...]
loginService.getUser(JSON.stringify(fbObj)),
    function (data) {
        console.log(data);
    },
    function (result) {
        console.error('Error', result.status);
    }
[...]

我用Chrome浏览器。为了解决这个问题，我还能做些什么?

我甚至将服务器配置为接受来自源localhost的头文件。

当前回答

GeoServer的独立发行版包括Jetty应用服务器。启用跨源资源共享(CORS)以允许您自己域之外的JavaScript应用程序使用GeoServer。

取消webapps/geoserver/WEB-INF/web.xml中的<filter>和<filter-mapping>的注释:

<web-app>
  <filter>
      <filter-name>cross-origin</filter-name>
      <filter-class>org.eclipse.jetty.servlets.CrossOriginFilter</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>cross-origin</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>
</web-app>

2018-01-04 15:07:45

其他回答

导致此错误的一个常见原因可能是主机API已经将请求映射到HTTP方法(例如，PUT)，而API客户端正在使用不同的HTTP方法(例如，POST或GET)调用API。

2018-09-29 12:40:20

检查请求是否发送到正确的端点。在我的Node.js项目中，我提到了错误的端点，请求将前往/api/txn/12345，端点是/api/txn而不是/api/txn/:txnId，这导致了这个错误。

2023-01-18 06:48:13

在ASP。NET Core Web API，这个问题通过添加“Microsoft.AspNetCore. NET”得到了解决。Cors”(版本1.1.1)，并在Startup.cs中添加以下更改。

public void ConfigureServices(IServiceCollection services)
{
    services.AddCors(options =>
    {
        options.AddPolicy("AllowAllHeaders",
            builder =>
            {
                builder.AllowAnyOrigin()
                       .AllowAnyHeader()
                       .AllowAnyMethod();
            });
    });
    .
    .
    .
}

and

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    // Shows UseCors with named policy.
    app.UseCors("AllowAllHeaders");
    .
    .
    .
}

并在控制器中放入[EnableCors("AllowAllHeaders")]。

2017-05-05 15:49:13

JavaScript XMLHttpRequest和Fetch遵循同源策略。所以, 使用XMLHttpRequest或Fetch的web应用程序只能生成HTTP 请求到自己的域。

来源:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

你必须从你的服务器端发送Access-Control-Allow-Origin: * HTTP报头。

如果你使用Apache作为你的HTTP服务器，那么你可以像这样把它添加到你的Apache配置文件中:

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
</IfModule>

Mod_headers在Apache中默认是启用的，但是，你可能想通过运行以下命令来确保它是启用的:

 a2enmod headers

2017-03-30 07:06:26

说到CORS，有一些注意事项。首先，它不允许通配符*，但不要在这一点上束缚我。我在什么地方读过，现在找不到那篇文章了。

如果您正在从不同的域发出请求，则需要添加允许起源标头。

Access-Control-Allow-Origin: www.other.com

如果您正在发出影响服务器资源的请求，如POST/PUT/PATCH，并且如果MIME类型不同于以下应用程序/x-www-form-urlencoded, multipart/form-data或text/plain，浏览器将自动发出一个pre-flight OPTIONS请求，以检查服务器是否允许这样做。

所以你的API/服务器需要相应地处理这些OPTIONS请求，你需要用适当的访问控制头进行响应，http响应状态码需要是200。

标题应该是这样的，根据你的需要调整它们:

   Access-Control-Allow-Methods: GET, POST, PUT, PATCH, POST, DELETE, OPTIONS
   Access-Control-Allow-Headers: Content-Type
   Access-Control-Max-Age: 86400

max-age报头很重要，在我的情况下，没有它就不能工作，我猜浏览器需要多长时间的“访问权限”是有效的信息。

此外，如果你正在使用application/json mime从不同的域发出POST请求，你还需要添加前面提到的allow origin头，所以它看起来像这样:

   Access-Control-Allow-Origin: www.other.com
   Access-Control-Allow-Methods: GET, POST, PUT, PATCH, POST, DELETE, OPTIONS
   Access-Control-Allow-Headers: Content-Type
   Access-Control-Max-Age: 86400

当飞行前成功并获得所有需要的信息时，您的实际请求将被提出。

一般来说，无论在初始请求或预飞行请求中请求了什么Access-Control头，都应该在响应中给出，以便它能够工作。

在MDN文档中有一个很好的例子，你也应该看看Stack Overflow的帖子。

2018-10-22 19:45:49

对飞行前请求的响应没有通过访问控制检查

推荐文章

最新文章

标签