如何使用cURL调试CORS请求?到目前为止,我还没有找到一种方法来“模拟”飞行前的请求。


当前回答

Use:

curl \
-H "Access-Control-Request-Method: GET" \
-H "Origin: http://localhost" \
--head \
http://www.example.com/

将http://www.example.com/替换为要测试的URL。 如果响应包含Access-Control-Allow-*,则您的资源支持CORS。

另一种答案的基本原理

我不时地思考这个问题,但公认的答案从来都不是我需要的。首先,它打印包含大量文本的响应体。Adding——head只输出头信息。其次,当测试S3 url时,我们需要提供额外的头-H "Access-Control-Request-Method: GET"。

其他回答

飞行前请求是使用OPTIONS HTTP方法完成的。

假设你想测试从http://mysite.example.com到https://myapi.example.com/foo的POST请求的CORS,命令应该是:

curl -XOPTIONS \
  -H "Access-Control-Request-Method: POST" \
  -H "Origin: http://mysite.example.com" \
  https://myapi.example.com/foo

响应要么是OK,要么是一个错误消息,比如Disallowed CORS origin。如果愿意,您仍然可以使用-i来包含头文件。

这比其他一些发出GET或HEAD请求并要求您解释报头的响应要简单得多。

下面的Bash脚本“corstest”适合我。它是 基于Jun711的评论。

使用

[-v] URL

例子

./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *

结果显示为绿色:

./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
You might want to visit https://enable-cors.org/ to find out how to enable CORS

阴性结果以红色和蓝色显示。

-v选项将显示完整的curl头文件。

corstest

#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139

# ANSI colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'
red='\033[0;31m'
green='\033[0;32m' # '\e[1;32m' is too bright for white background.
endColor='\033[0m'

#
# A colored message
#   parameters:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}


#
# Show the usage
#
usage() {
  echo "usage: [-v] $0 url"
  echo "  -v |--verbose: show curl result"
  exit 1
}

if [ $# -lt 1 ]
then
  usage
fi

# Commandline option
while [  "$1" != ""  ]
do
  url=$1
  shift

  # Optionally show usage
  case $url in
    -v|--verbose)
       verbose=true;
       ;;
  esac
done


if [ "$verbose" = "true" ]
then
  curl -s -X GET $url -H 'Cache-Control: no-cache' --head
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)


if [ $? -eq 0 ]
then
  color_msg $green "$url $origin"
else
  color_msg $red "$url does not support CORS"
  color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi

下面介绍如何使用curl调试CORS请求。

使用cUrl发送常规的CORS请求:

curl -H "Origin: http://example.com" --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

-H "Origin: http://example.com"标志是发出请求的第三方域。代入你的定义域。

verbose标志输出整个响应,这样您就可以看到请求和响应头。

我上面使用的URL是对支持CORS的谷歌API的示例请求,但您可以替换为您正在测试的任何URL。

响应应该包括Access-Control-Allow-Origin报头。

使用cUrl发送飞行前请求:

curl -H "Origin: http://example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: X-Requested-With" \
  -X OPTIONS --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

这看起来类似于常规的CORS请求,只是增加了一些内容:

-H标志向服务器发送额外的preflight请求头

-X OPTIONS标志表示这是一个HTTP OPTIONS请求。

如果preflight请求成功,响应应该包括Access-Control-Allow-Origin、Access-Control-Allow-Methods和Access-Control-Allow-Headers响应头。如果preflight请求没有成功,这些头信息就不会出现,否则HTTP响应就不会是200。

您还可以通过使用-H标志指定额外的标头,例如User-Agent。

Use:

curl \
-H "Access-Control-Request-Method: GET" \
-H "Origin: http://localhost" \
--head \
http://www.example.com/

将http://www.example.com/替换为要测试的URL。 如果响应包含Access-Control-Allow-*,则您的资源支持CORS。

另一种答案的基本原理

我不时地思考这个问题,但公认的答案从来都不是我需要的。首先,它打印包含大量文本的响应体。Adding——head只输出头信息。其次,当测试S3 url时,我们需要提供额外的头-H "Access-Control-Request-Method: GET"。

这似乎是可行的:

curl -I http://example.com

在返回的头文件中查找Access-Control-Allow-Origin: *。