17

我正在尝试使用 Access-Control-Allow-Origin 标头提供对 HTTP OPTIONS 方法的响应,该标头复制请求中 Origin 标头的内容。

由于我无法弄清楚的原因,这显然不起作用。

tl;博士: 选项的回应说:

Access-Control-Allow-Origin: http://10.0.0.105:9294

随后的 GET 有:

Origin:http://10.0.0.105:9294

铬 说:

Origin http://10.0.0.105:9294 is not allowed by Access-Control-Allow-Origin

不是吗?

更多详情...

通过查看 Chrome 的开发者工具窗口,请求标头是:

OPTIONS /user/kris HTTP/1.1
Host: 10.0.0.104:8080
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: http://10.0.0.105:9294
User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.75 Safari/537.1
Access-Control-Request-Headers: origin, x-requested-with, content-type, accept
Accept: */*
Referer: http://10.0.0.105:9294/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

响应头是:

HTTP/1.0 200 OK
Date: Mon, 13 Aug 2012 11:23:45 GMT
Server: WSGIServer/0.1 Python/2.7.3
Content-Length: 0
Access-Control-Allow-Methods: GET, PUT, POST, DELETE, HEAD, OPTIONS
Access-Control-Max-Age: 10
Access-Control-Allow-Origin: http://10.0.0.105:9294
Access-Control-Allow-Headers: X-Requested-With, Authorization, X-Huzu-User, Content-Type, Accept
Content-Type: text/html; charset=UTF-8

在 jQuery 发送其 OPTIONS 请求并获得上述响应后,发生了 2 件奇怪的事情。OPTIONS 响应(即 200)在开发者控制台中显示为错误:

OPTIONS http://10.0.0.104:8080/user/kris 200 (OK)

之后 GET 请求被拒绝。控制台中的错误:

XMLHttpRequest cannot load http://10.0.0.104:8080/user/kris. Origin http://10.0.0.105:9294 is not allowed by Access-Control-Allow-Origin.

我不明白为什么不。我究竟做错了什么?

4

2 回答 2

31

好的,我想我明白了。似乎有必要正确处理飞行前的 OPTIONS 请求,但不足以使跨站点资源请求正常工作。

在 OPTIONS 请求返回令人满意的标头后,对同一 URL 的任何后续请求的所有响应必须具有必要的“Access-Control-Allow-Origin”标头,否则浏览器会吞下它们,甚至不会显示在调试器窗口中。

所以看起来浏览器因为 OPTIONS 响应中的一些问题而取消了请求,但实际上,浏览器正在查看来自真实请求的响应标头,然后拒绝它们。

于 2012-08-14T11:42:17.960 回答
0

您还应该添加Access-Control-Allow-Methods标题以及Access-Control-Allow-Origin

对于通配符,访问添加下面的标题

   res.header("Access-Control-Allow-Origin", "*");
   res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
   res.header('Access-Control-Allow-Methods', 'PUT, POST, GET, DELETE, OPTIONS');

对于允许的任何特定来源,将其添加到 *.

于 2021-08-22T11:22:04.937 回答