1

我服务的一些用户希望能够通过浏览器中的 javascript 访问我们的 REST API(需要用户凭据)。由于与违反同源策略相关的所有漏洞,我通常不会允许这样做。但是,如果特定用户需要它并了解正在发生的事情......我希望将他添加到“可以进行跨源请求”白名单中。

但是,我无法弄清楚如何根据 http 授权信息有选择地返回 Access-Control-Allow-Origin 标头。

如果我在 javascript 中执行此操作:

$.ajax({'url':'url', 'beforeSend': function (xhr) { xhr.setRequestHeader("Authorization", "Basic " + 'base64encodedcreds' ) } })

浏览器首先发送一个没有 Authorization 标头的 ORIGIN METHOD 请求。因此,我无法知道是否应该在响应中包含 Access-Control-Allow-Origin。

xmlhttprequest 中是否有一些设置可以让它发送带有授权的 ORIGIN?还是有另一种方法可以选择性地授予跨域访问权限?

4

2 回答 2

1

没有办法绕过这种行为——传递授权标头是 AAAO 试图限制的行为之一。但你可以回避它:

  • 为此用户创建一个单独的端点 URL。
  • 让这个端点总是返回一个Access-Control-Allow-Origin允许访问的。(管他呢。)
  • 让此端点也始终为您尝试允许的用户以外的任何用户返回 401(未授权)。
于 2013-03-02T06:44:33.953 回答
1

根据duskwuff的回答,这是不可能的,我采取了这条接近路线而不必创建新的网址:

  • 始终接受带有 access-control-allow-origin 的选项查询
  • 如果 GET/POST 进入,请检查选项标题。如果用户未列入白名单,请检查用户凭据和 401。

(使用 django 中间件很容易实现)

于 2013-03-05T01:20:10.367 回答