如果你正在使用express，你可以使用cors包来支持cors，而不是编写中间件;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

这是安全的一部分，你不能这么做。如果你想允许凭证，那么你的Access-Control-Allow-Origin不能使用*。您必须指定确切的协议+域+端口。参考以下问题:

访问控制-允许起源通配符子域，端口和协议 使用凭证的跨起源资源共享

此外，*过于宽松，会阻碍凭证的使用。因此，将http://localhost:3000或http://localhost:8000设置为allow origin头文件。

如果你正在使用CORS中间件，并且你想要发送凭据布尔值为true，你可以这样配置CORS:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));

试一试:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));

(编辑)之前推荐的插件不再可用，您可以尝试其他的插件

出于Chrome的开发目的，安装 这个添加将消除特定的错误:

Access to XMLHttpRequest at 'http://192.168.1.42:8080/sockjs-node/info?t=1546163388687' 
from origin 'http://localhost:8080' has been blocked by CORS policy: The value of the 
'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 
when the request's credentials mode is 'include'. The credentials mode of requests 
initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

安装后，通过单击AddOn's (CORS，绿色或红色)图标并填充适当的文本框，确保将您的url模式添加到截获的url。这里要添加的用于http://localhost:8080的示例URL模式是:*://*

如果你想要允许所有的起源并保持真实的凭证，这对我来说是可行的:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));

这对我来说在开发过程中是可行的，但我不能建议在制作过程中，这只是一种不同的完成工作的方式，虽然还没有提到，但可能不是最好的。总之是这样的:

您可以从请求中获取源，然后在响应头中使用它。下面是它在express中的样子:

app.use(function(req, res, next) {
  res.header('Access-Control-Allow-Origin', req.header('origin') );
  next();
});

我不知道你的python设置会是什么样子，但这应该很容易翻译。

angular有这个问题，在请求执行之前，使用一个认证拦截器来编辑头。我们使用api-token进行身份验证，所以我启用了凭据。现在，似乎没有必要/不允许了

@Injectable()
export class AuthInterceptor implements HttpInterceptor {
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({
      //withCredentials: true, //not needed anymore
      setHeaders: {
        'Content-Type' : 'application/json',
        'API-TOKEN' : 'xxx'
      },
    });
    
    return next.handle(req);
  }

除此之外，目前还没有副作用。

扩展@Renaud的想法，cors现在提供了一个非常简单的方法来做到这一点:

以下是cors官方文件:

＂ origin:配置Access-Control-Allow-Origin CORS头。 可能的值: 布尔-将origin设置为true以反映请求源，由req.header(' origin ')定义，或将其设置为false以禁用CORS。 ＂

因此，我们简单地做以下事情:

const app = express();
const corsConfig = {
    credentials: true,
    origin: true,
};
app.use(cors(corsConfig));

最后，我认为值得一提的是，在某些用例中，我们希望允许来自任何人的跨起源请求;例如，在构建公共REST API时。

虽然关于cors的起源我们有很多解决方案，但是我想我可以补充一些缺失的部分。一般来说，在node.js中使用cors中间件可以达到最大的目的，比如不同的http方法(get, post, put, delete)。

但也有像发送cookie响应这样的用例，我们需要在cors中间件中启用凭据为真，否则我们不能设置cookie。还有一些用例可以访问所有的原点。在这种情况下，我们应该用，

{credentials: true, origin: true}

对于特定的原点，我们需要指定原点的名称，

{credential: true, origin: "http://localhost:3000"}

对于多个原点，

{credential: true, origin: ["http://localhost:3000", "http://localhost:3001" ]}

在某些情况下，我们可能需要允许多个原点。一个用例是只允许开发人员。要获得这种动态白名单，我们可以使用这种函数

const whitelist = ['http://developer1.com', 'http://developer2.com']
const corsOptions = {
origin: (origin, callback) => {
    if (whitelist.indexOf(origin) !== -1) {
      callback(null, true)
    } else {
      callback(new Error())
    }
  }
}

NETLIFY和HEROKU的CORS错误

实际上，如果上面的方法都不适合你，你可以试试这个。 在我的例子中，后端运行在Heroku上，前端托管在netlify上。 在前端的.env文件中，server_url被写成

REACT_APP_server_url = "https://ci-cd-backend.herokuapp.com"

在后端，我所有的API调用都写成，

app.get('/login', (req, res, err) => {});

所以，你需要做的唯一改变是，在路由的末尾添加/api，

frontend base url是这样的，

REACT_APP_server_url = "https://ci-cd-backend.herokuapp.com/api"

后端api应该写成，

app.get('/api/login', (req, res, err) => {})

这在我的案例中起了作用，我相信当前端托管在netlify上时，这个问题是特别相关的。