17

我已按照以下步骤操作:

  1. 让服务器允许跨域调用(包含所有标头和内容
  2. 使用一些跨域调用测试服务器这有效
  3. 让服务器强制证书 这行得通
  4. 使用浏览器转到服务器上的文件,选择正确的证书并查看该文件仍然有效
    现在我们进入了不错的部分
  5. 将跨域调用与证书结合<-这不起作用

问题

我正在从浏览器获取证书请求,但是当我选择与使用浏览器时相同的证书时,会进行调用,但会收到 403 Forbidden。

代码 

$.ajax({
     type: "POST",
     xhrFields: {withCredentials: true},
     dataType: "xml",
     contentType: "text/xml; charset=\"utf-8\"",
     url: "https://www.myOtherServer.com/testfile.asp",
});

有任何想法吗?

编辑

Access-Control-Allow-Credentials: trueAccess-Control-Allow-Origin正确配置。

附加信息

我开始认为它与内容类型有关。当我将其更改"text/html"为时出现415错误,但我确实需要发送 xml,因为它是一个 SOAP 服务器。

响应标头 

Access-Control-Allow-Cred...    true
Access-Control-Allow-Head...    Content-Type, Origin, Man, Messagetype, Soapaction, X-Test-Header
Access-Control-Allow-Meth...    GET,POST,HEAD,DELETE,PUT,OPTIONS
Access-Control-Allow-Orig...    https://www.mywebsite.com
Access-Control-Max-Age  1800
Cache-Control   private
Content-Length  5561
Content-Type    text/html; charset=utf-8
Date    Wed, 19 Dec 2012 15:06:46 GMT
Server  Microsoft-IIS/7.5
X-Powered-By    ASP.NET

请求标头

Accept  text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Encoding gzip, deflate
Accept-Language nl,en-us;q=0.7,en;q=0.3
Access-Control-Request-He...    content-type
Access-Control-Request-Me...    POST
Cache-Control   no-cache
Connection  keep-alive
Host    myhoast.com
Origin  https://www.mywebsite.com
Pragma  no-cache
User-Agent  Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0
4

2 回答 2

10

我最好的猜测是,这不是您的 Javascript 的问题,而是您的 CORS 配置的问题。您是否使用标头设置了服务器Access-Control-Allow-Credentials: truehttp://www.w3.org/TR/cors/#access-control-allow-credentials-response-header

另请注意,即使设置了 allow-credentials 标头,如果Access-Control-Allow-Origin是 *,浏览器也不会允许响应凭据请求,根据这些文档:https ://developer.mozilla.org/en-US/docs/HTTP/ Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control#Requests_with_credentials

编辑:由于 OP 正确设置了 CORS 标头,因此问题似乎是服务器拒绝带有 403 状态代码的 OPTIONS 请求。OPTIONS 请求(称为“预检请求”)在某些跨域请求(例如具有 application/xml 内容类型的 POST)之前发送,以允许服务器通知浏览器允许哪些类型的请求。由于浏览器没有看到它期望从 OPTIONS 请求中得到的 200 响应,因此它不会触发实际的 POST 请求。

于 2012-12-19T14:34:41.120 回答
1

基本上我们只需要在 htaccess 上写

Header set Access-Control-Allow-Origin “*”

但是当我们需要 cookie 等时,我们必须在您的 ajax 代码和 htaccess 上添加脚本

我在我的博客blog.imammubin.com/cross-domain-xhr/2014/05/28/上写了关于跨域 XHR 的文章(编辑:站点不再存在)

希望这有帮助..

于 2014-05-28T17:18:13.690 回答