显然,我完全误解了它的语义。我想到了这样的事情:
客户端从下载JavaScript代码MyCode.jshttp://siteA-原产地。MyCode.js的响应标头包含Access Control Allow Origin:http://siteB,我认为这意味着允许MyCode.js对站点B进行跨源引用。客户端触发MyCode.js的一些功能,进而向http://siteB,这应该可以,尽管是跨源请求。
嗯,我错了。它根本不是这样工作的。所以,我已经阅读了跨源资源共享,并尝试阅读w3c推荐中的跨源资源分享。
有一点是肯定的——我仍然不明白我应该如何使用这个标题。
我完全控制站点A和站点B。如何使从站点A下载的JavaScript代码使用此标头访问站点B上的资源?
备注:我不想使用JSONP。
当前回答
我使用Express.js 4、Node.js 7.4和Angular,但遇到了同样的问题。这帮助了我:
a) 服务器端:在app.js文件中,我向所有响应添加头,比如:
app.use(function(req, res, next) {
res.header('Access-Control-Allow-Origin', req.headers.origin);
res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
next();
});
这必须在所有路线之前。
我看到很多人添加了这个标题:
res.header("Access-Control-Allow-Headers","*");
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
但我不需要,
b) 客户端:通过Ajax发送时,需要添加“withCredentials:true”,如:
$http({
method: 'POST',
url: 'url',
withCredentials: true,
data : {}
}).then(function(response){
// Code
}, function (response) {
// Code
});
其他回答
对于跨源共享,请设置标题:“Access Control Allow origin”:“*”;
Php:header(“访问控制-允许原始”:“*”);
节点:app.use('Access-Control-Allow-Origin':'*');
这将允许共享不同域的内容。
使用React和Axios,将代理链接连接到URL,并添加标头,如下所示:
https://cors-anywhere.herokuapp.com/+您的API URL
只需添加代理链接即可,但它也可能再次引发“无访问”错误。因此,最好添加一个标题,如下所示。
axios.get(`https://cors-anywhere.herokuapp.com/[YOUR_API_URL]`,{headers: {'Access-Control-Allow-Origin': '*'}})
.then(response => console.log(response:data);
}
警告:不得用于生产
这只是权宜之计。如果你在纠结为什么你不能得到回应,你可以使用这个。但这同样不是生产的最佳答案。
注:仅用于测试的临时解决方案
对于那些无法控制“选项405方法不允许”的后端的人,这里有一个解决方案,用于“颜色”浏览器。
在命令行中执行:
“C:\Program Files(x86)\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“path_to_file”
例子:
“C:\Program Files(x86)\Google\Chrome\Application\Chrome.exe”--禁用web安全--用户数据dir=“C:\Users\vital\AppData\Local\Google\Cherme\user data\Profile 2”
对于带有Angular的.NET Core 3.1 API
Startup.cs:添加CORS
//SERVICES
public void ConfigureServices(IServiceCollection services){
//CORS (Cross Origin Resource Sharing)
//=====================================
services.AddCors();
}
//MIDDLEWARES
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
app.UseRouting();
//ORDER: CORS -> Authentication -> Authorization)
//CORS (Cross Origin Resource Sharing)
//=====================================
app.UseCors(x=>x.AllowAnyHeader().AllowAnyMethod().WithOrigins("http://localhost:4200"));
app.UseHttpsRedirection();
}
}
控制器:为授权控制器启用CORS
//Authorize all methods inside this controller
[Authorize]
[EnableCors()]
public class UsersController : ControllerBase
{
//ActionMethods
}
根据我自己的经验,很难找到一个简单的解释,为什么CORS甚至是一个问题。
一旦你明白了为什么会出现,标题和讨论就会变得更加清晰。我会在几行字里尝试一下。
都是关于饼干的。Cookie按其域存储在客户端上。
一个例子:在你的电脑上,有一个你的bank.com的cookie。也许你的会话就在那里。
要点:当客户端向服务器发出请求时,它将发送存储在该请求的域下的cookie。
您已在浏览器上登录到yourbank.com。您请求查看您的所有帐户,并为yourbank.com发送cookie。yourbank.com收到一堆cookie,并发回其响应(您的帐户)。
如果另一个客户机向服务器发出跨源请求,则会像以前一样发送这些cookie。如罗。
你浏览到malicious.com。malicious向不同的银行发出一系列请求,包括yourbank.com。
由于cookie按预期进行了验证,服务器将授权响应。
这些饼干被收集起来并一起发送——现在,malious.com收到了您银行的回复。
诶呀
现在,一些问题和答案变得显而易见:
“我们为什么不阻止浏览器这样做?”是的。这是CORS。“我们怎么解决?”让服务器告诉请求CORS正常。
