我有一个设置

前端服务器(Node.js,域:localhost:3000) <——>后端(Django, Ajax,域:localhost:8000)

浏览器<——webapp <——Node.js(服务应用程序)

浏览器(webapp) -> Ajax -> Django(服务Ajax POST请求)

现在,我在这里的问题是CORS设置,web应用程序使用它来对后端服务器进行Ajax调用。在chrome,我一直得到

当凭据标志为真时,不能在Access-Control-Allow-Origin中使用通配符。

也不能在firefox上工作。

我的Node.js设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

在Django中,我使用了这个中间件

web应用程序发出这样的请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

所以,webapp发送的请求头是这样的:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

下面是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里说错了?!

编辑1:我一直在使用chrome—禁用web-security,但现在想让事情真正工作。

编辑2:答案:

django-cors-headers配置的解决方案:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

当前回答

扩展@Renaud的想法,cors现在提供了一个非常简单的方法来做到这一点:

以下是cors官方文件:

" origin:配置Access-Control-Allow-Origin CORS头。 可能的值: 布尔-将origin设置为true以反映请求源,由req.header(' origin ')定义,或将其设置为false以禁用CORS。 "

因此,我们简单地做以下事情:

const app = express();
const corsConfig = {
    credentials: true,
    origin: true,
};
app.use(cors(corsConfig));

最后,我认为值得一提的是,在某些用例中,我们希望允许来自任何人的跨起源请求;例如,在构建公共REST API时。

其他回答

(编辑)之前推荐的插件不再可用,您可以尝试其他的插件


出于Chrome的开发目的,安装 这个添加将消除特定的错误:

Access to XMLHttpRequest at 'http://192.168.1.42:8080/sockjs-node/info?t=1546163388687' 
from origin 'http://localhost:8080' has been blocked by CORS policy: The value of the 
'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 
when the request's credentials mode is 'include'. The credentials mode of requests 
initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

安装后,通过单击AddOn's (CORS,绿色或红色)图标并填充适当的文本框,确保将您的url模式添加到截获的url。这里要添加的用于http://localhost:8080的示例URL模式是:*://*

如果你正在使用express,你可以使用cors包来支持cors,而不是编写中间件;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

如果你正在使用CORS中间件,并且你想要发送凭据布尔值为true,你可以这样配置CORS:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));

angular有这个问题,在请求执行之前,使用一个认证拦截器来编辑头。我们使用api-token进行身份验证,所以我启用了凭据。现在,似乎没有必要/不允许了

@Injectable()
export class AuthInterceptor implements HttpInterceptor {
  intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
    req = req.clone({
      //withCredentials: true, //not needed anymore
      setHeaders: {
        'Content-Type' : 'application/json',
        'API-TOKEN' : 'xxx'
      },
    });
    
    return next.handle(req);
  }

除此之外,目前还没有副作用。

如果你想要允许所有的起源并保持真实的凭证,这对我来说是可行的:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));