我试图用post请求发送文件到我的服务器,但当它发送时,它会导致错误:

Access-Control-Allow-Headers不允许请求报头字段Content-Type。

所以我谷歌了这个错误,并添加了标题:

$http.post($rootScope.URL, {params: arguments}, {headers: {
    "Access-Control-Allow-Origin" : "*",
    "Access-Control-Allow-Methods" : "GET,POST,PUT,DELETE,OPTIONS",
    "Access-Control-Allow-Headers": "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With"
}

然后我得到错误:

Access-Control-Allow-Headers不允许请求报头字段Access-Control-Allow-Origin

所以我谷歌了一下,我能找到的唯一类似的问题是提供了一半的答案,然后关闭为跑题。我应该添加/删除什么头?


当前回答

对我来说,添加以下到我的服务器的网页。配置文件:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Access-Control-Allow-Origin" value="https://other.domain.com" />
            <add name="Access-Control-Allow-Methods" value="GET,POST,OPTIONS,PUT,DELETE" />
            <add name="Access-Control-Allow-Headers" value="Content-Type,X-Requested-With" />
        </customHeaders>
    </httpProtocol>
<system.webServer>

其他回答

您试图设置的头是响应头。它们必须在响应中由您发出请求的服务器提供。

在客户端上没有设置它们的位置。如果可以由需要权限的站点而不是拥有数据的站点授予权限,那么使用一种授予权限的方法就毫无意义了。

服务器(POST请求被发送到的服务器)需要在其响应中包含Access-Control-Allow-Headers头(等等)。将它们放在客户端的请求中是没有效果的。您应该删除“Access-Control-Allow-…”从你的POST请求。

这是因为由服务器来指定它是否接受跨源请求(以及它是否允许Content-Type请求头等等)——客户机不能自己决定给定的服务器是否应该允许CORS。

请求者(web浏览器)可以通过发送一个“OPTIONS”请求(即不是你想要的“POST”或“GET”请求)来“preflight”测试服务器的同源策略。如果对'OPTIONS'请求的响应包含'Access-Control-Allow-…'头,允许你的请求使用的头,来源或方法,然后请求者/浏览器将发送你的'POST'或'GET'请求。

(模糊的注释:)Access-Control-Allow-…使用值”,而不是列出特定的来源、头文件或允许的方法。然而,我使用的旧Android WebView客户端不尊重“通配符,需要在OPTIONS请求的响应中Access-Control-Allow-Headers头中列出的特定头。

对我来说,添加以下到我的服务器的网页。配置文件:

<system.webServer>
    <httpProtocol>
        <customHeaders>
            <add name="Access-Control-Allow-Origin" value="https://other.domain.com" />
            <add name="Access-Control-Allow-Methods" value="GET,POST,OPTIONS,PUT,DELETE" />
            <add name="Access-Control-Allow-Headers" value="Content-Type,X-Requested-With" />
        </customHeaders>
    </httpProtocol>
<system.webServer>

在Asp Net Core中,快速让它工作;在Startup.cs中,配置add方法

app.UseCors(options => options.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader());

如果你测试一些针对ionic2或angularjs 2的javascript请求,在你的chrome上的pc或mac上,然后确保你为chrome浏览器安装了CORS插件,以允许跨源。

也许不需要cors, get请求就可以工作,但是post、put和delete需要你安装cors插件进行测试,这肯定不酷,但我不知道没有cors插件人们是如何做到的。

还要确保json响应不会返回400