1

我的 ftp/php 跨域请求有问题。使用我的浏览器,我可以通过传递如下参数来访问内容:http: //xxx.org/models/get.php?file=default_app/y_car_new/ stock.jpg。但是对于 JavaScript,相同的链接给了我http://localhost:8000 is not allowed by Access-Control-Allow-Origin 我已经尝试过的 Origin

header("访问控制允许来源:*")

以下脚本没有运气。我的 ftp 访问服务器中有一个 get.php 文件,代码如下:

<?

if(isset($_GET["file"])) {
    $filepath = "/.../models/".$_GET["file"];
    //echo "path: " , $filepath;
    $filetype = pathinfo($filepath);
    //echo $filetype['extension'], "\n";
    header('Access-Control-Allow-Origin: *');
    header('Content-Type: '.$filetype['extension']);
    // //header('Content-Type: application/octet-stream');
    header('Content-Length: ' . filesize($filepath));
    ob_clean();

    readfile($filepath);
}//if

else {
   echo '<img src="http://stupidbadmemes.files.wordpress.com/2013/02/no-you-may-not.jpg"></img>';
}


?>

我在这个脚本中做错了什么?

4

2 回答 2

2

如果您要来回发送 GET 数据,我会尝试更多地打开您的访问控制。同源规则可能非常挑剔。

Allow-Origin 管理哪些服务器可以发出请求。

Max-Age 实现了过期。

Allow-Methods 允许请求者发送 GET/POST/等。数据给你。

这是一个例子:

header('Access-Control-Allow-Origin: *');
header('Access-Control-Max-Age: 3628800');
header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE');

旁注

Allow-Origin 应在生产时设置为您的特定请求域,* 会增加一些风险。

请考虑清理您的输入,访问这样的文件是一件有风险的事情。您实际上是让人们阅读您工作目录中的任何文件。

$filepath = "/.../models/".$_GET["file"];

于 2013-04-10T16:34:33.697 回答
0

这是客户端的“问题”。这是一个安全问题,由浏览器实现以禁止从一个域到另一个域的请求。有一些方法可以解决这个问题,尤其是 JSONP。

于 2013-04-10T16:30:55.397 回答