XMLHttpRequest cannot load http://localhost:8080/api/test. Origin http://localhost:3000 is not allowed by Access-Control-Allow-Origin. 

我读过跨域ajax请求,了解底层的安全问题。在我的例子中,两台服务器在本地运行,并且喜欢在测试期间启用跨域请求。

localhost:8080 - Google Appengine dev server
localhost:3000 - Node.js server

当我的页面从节点服务器加载时,我发出ajax请求到localhost:8080 - GAE服务器。什么是最简单,最安全的(不想启动chrome禁用web-security选项)。如果我必须改变“内容类型”,我应该在节点服务器上这样做吗?如何?


当前回答

如果你得到了403,请减少WEB.XML tomcat配置中的过滤器如下:

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
  <init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value>*</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.methods</param-name>
    <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.headers</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
  </init-param>
  <init-param>
    <param-name>cors.exposed.headers</param-name>
    <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
  </init-param>
</filter>

其他回答

因为它们运行在不同的端口上,所以它们是不同的JavaScript来源。它们是否在同一台机器/主机名上并不重要。

您需要在服务器(localhost:8080)上启用CORS。看看这个网站:http://enable-cors.org/

你所需要做的就是向服务器添加一个HTTP报头:

Access-Control-Allow-Origin: http://localhost:3000

或者,为了简单起见:

Access-Control-Allow-Origin: *

如果你的服务器试图设置cookie,而你使用withCredentials = true,不要使用“*”

在响应已验证的请求时,服务器必须指定一个域,并且不能使用通配符。

你可以在这里阅读更多关于withCredentials的信息

你必须让CORS来解决这个问题

如果你的应用是用简单的node.js创建的

在你的响应头中设置它

var http = require('http');

http.createServer(function (request, response) {
response.writeHead(200, {
    'Content-Type': 'text/plain',
    'Access-Control-Allow-Origin' : '*',
    'Access-Control-Allow-Methods': 'GET,PUT,POST,DELETE'
});
response.end('Hello World\n');
}).listen(3000);

如果你的应用是用express framework创建的

使用CORS中间件

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', "*");
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header('Access-Control-Allow-Headers', 'Content-Type');
    next();
}

并通过

app.configure(function() {
    app.use(allowCrossDomain);
    //some other code
});    

这里有两个参考链接

how-to-allow-cors-in-express-nodejs dive -into-node-js-very-first-app #参见Ajax部分

将此添加到您的NodeJS服务器,如下所示:

app.use(function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
  next();
});

如果你得到了403,请减少WEB.XML tomcat配置中的过滤器如下:

<filter>
  <filter-name>CorsFilter</filter-name>
  <filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
  <init-param>
    <param-name>cors.allowed.origins</param-name>
    <param-value>*</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.methods</param-name>
    <param-value>GET,POST,HEAD,OPTIONS,PUT</param-value>
  </init-param>
  <init-param>
    <param-name>cors.allowed.headers</param-name>
    <param-value>Content-Type,X-Requested-With,accept,Origin,Access-Control-Request-Method,Access-Control-Request-Headers</param-value>
  </init-param>
  <init-param>
    <param-name>cors.exposed.headers</param-name>
    <param-value>Access-Control-Allow-Origin,Access-Control-Allow-Credentials</param-value>
  </init-param>
</filter>

如果你使用快捷方式,

var express = require('express')
var cors = require('cors')
var app = express()
app.use(cors())

如果你正在使用app.use(express.json());在你的服务器文件中使用JSON有效负载来解析传入请求,并且是基于body解析器的,请记住在使用app.use(cors())代码行之后使用它。否则,可能会出现安全问题。 歌珥