CORS:当凭据标志为真时，不能在Access-Control-Allow-Origin中使用通配符

我有一个设置

前端服务器(Node.js，域:localhost:3000) <——>后端(Django, Ajax，域:localhost:8000)

浏览器<——webapp <——Node.js(服务应用程序)

浏览器(webapp) -> Ajax -> Django(服务Ajax POST请求)

现在，我在这里的问题是CORS设置，web应用程序使用它来对后端服务器进行Ajax调用。在chrome，我一直得到

当凭据标志为真时，不能在Access-Control-Allow-Origin中使用通配符。

也不能在firefox上工作。

我的Node.js设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

在Django中，我使用了这个中间件

web应用程序发出这样的请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

所以，webapp发送的请求头是这样的:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

下面是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里说错了?!

编辑1:我一直在使用chrome—禁用web-security，但现在想让事情真正工作。

编辑2:答案:

django-cors-headers配置的解决方案:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

当前回答

NETLIFY和HEROKU的CORS错误

实际上，如果上面的方法都不适合你，你可以试试这个。在我的例子中，后端运行在Heroku上，前端托管在netlify上。在前端的.env文件中，server_url被写成

REACT_APP_server_url = "https://ci-cd-backend.herokuapp.com"

在后端，我所有的API调用都写成，

app.get('/login', (req, res, err) => {});

所以，你需要做的唯一改变是，在路由的末尾添加/api，

frontend base url是这样的，

REACT_APP_server_url = "https://ci-cd-backend.herokuapp.com/api"

后端api应该写成，

app.get('/api/login', (req, res, err) => {})

这在我的案例中起了作用，我相信当前端托管在netlify上时，这个问题是特别相关的。

2022-11-22 02:22:22

其他回答

这对我来说在开发过程中是可行的，但我不能建议在制作过程中，这只是一种不同的完成工作的方式，虽然还没有提到，但可能不是最好的。总之是这样的:

您可以从请求中获取源，然后在响应头中使用它。下面是它在express中的样子:

app.use(function(req, res, next) {
  res.header('Access-Control-Allow-Origin', req.header('origin') );
  next();
});

我不知道你的python设置会是什么样子，但这应该很容易翻译。

2019-08-26 09:57:27

试一试:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));

2017-12-24 10:41:00

如果你正在使用express，你可以使用cors包来支持cors，而不是编写中间件;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

2013-11-02 15:22:58

如果你想要允许所有的起源并保持真实的凭证，这对我来说是可行的:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));

2019-05-17 15:22:49

虽然关于cors的起源我们有很多解决方案，但是我想我可以补充一些缺失的部分。一般来说，在node.js中使用cors中间件可以达到最大的目的，比如不同的http方法(get, post, put, delete)。

但也有像发送cookie响应这样的用例，我们需要在cors中间件中启用凭据为真，否则我们不能设置cookie。还有一些用例可以访问所有的原点。在这种情况下，我们应该用，

{credentials: true, origin: true}

对于特定的原点，我们需要指定原点的名称，

{credential: true, origin: "http://localhost:3000"}

对于多个原点，

{credential: true, origin: ["http://localhost:3000", "http://localhost:3001" ]}

在某些情况下，我们可能需要允许多个原点。一个用例是只允许开发人员。要获得这种动态白名单，我们可以使用这种函数

const whitelist = ['http://developer1.com', 'http://developer2.com']
const corsOptions = {
origin: (origin, callback) => {
    if (whitelist.indexOf(origin) !== -1) {
      callback(null, true)
    } else {
      callback(new Error())
    }
  }
}

2022-08-03 17:27:43

CORS:当凭据标志为真时，不能在Access-Control-Allow-Origin中使用通配符

推荐文章

最新文章

标签