11

我正在向运行 express 的节点服务器发送 CORS ajax 请求。在服务器日志和 js 控制台中,我可以看到预检 OPTIONS 请求成功。

然后,主请求也在服务器上成功,并以 200 响应,我认为是正确的标头。但是,在 Chrome 中,网络选项卡将后一个请求报告为“已取消”,并且不接受或处理响应:

XMLHttpRequest 无法加载http://myserver.com/upload。Access-Control-Allow-Origin 不允许来源http://mysite.com 。

以下是打印出请求和响应标头的服务器日志:

76.79.201.210 - - [27/Jun/2013:23:23:17 +0000] "OPTIONS /upload HTTP/1.1" 204 0 "http://mysite.com/add" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"
START
{ host: 'localhost:5001',
  connection: 'close',
  'content-length': '109587',
  origin: 'http://mysite.com',
  'user-agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36',
  'content-type': 'multipart/form-data; boundary=----WebKitFormBoundaryBZA4TATeeVWMHArH',
  accept: '*/*',
  referer: 'http://mysite.com/add',
  'accept-encoding': 'gzip,deflate,sdch',
  'accept-language': 'en-US,en;q=0.8' }
{ 'x-powered-by': 'Express',
  'access-control-allow-origin': '*',
  'access-control-allow-methods': 'GET, POST, PUT, DELETE, OPTIONS',
  'access-control-allow-headers': 'X-Requested-With' }
XX.XX.XXX.210 - - [27/Jun/2013:23:23:19 +0000] "POST /upload HTTP/1.1" 200 118 "http://mysite.com/add" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"
- - - [Thu, 27 Jun 2013 23:23:19 GMT] "POST /upload HTTP/1.0" 200 - "http://mysite.com/add" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

更新:Chrome 网络选项卡的屏幕截图——“已取消”的截图是 200 以上的截图

http://cl.ly/image/3c09330i1a17

4

2 回答 2

4

对 CORS 相关问题进行故障排除

  • 如果您尝试重现该问题,但没有看到请求/响应,则您的浏览器可能缓存了较早失败的预检请求尝试。清除浏览器的缓存也可能会清除预检缓存...

https://developers.google.com/storage/docs/cross-origin

我在test-cors.org上测试了以下配置,它似乎可以工作。请记住在进行故障排除时不时清除缓存。

var allowedHost = {
    // this is the origin that test-cors.org uses
    'http://client.cors-api.appspot.com': true
};

var allowCrossDomain = function(req, res, next) {
    if (!req.headers.origin || allowedHost[req.headers.origin]) {
        res.header('Access-Control-Allow-Credentials', true);
        res.header('Access-Control-Allow-Origin', req.headers.origin)
        res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
        res.header('Access-Control-Allow-Headers', 'X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5, Content-Type, Date, X-Api-Version');
        if (req.method == 'OPTIONS') res.send(200);
        else next();
    }
    else {
        res.send(403, {
            auth: false
        });
    }
}

祝你好运!

于 2013-06-27T23:53:14.827 回答
0

所以事实证明,因为我同时设置了 nginx 和 express 来响应选项请求的标头,它以某种方式将 Access-Control-Allow-Origin 标头值组合成“ ”,“ ”。我不知道它是把它读成数组还是什么。

仍然很困惑,因为 1)为什么请求通过了 nginx?和 2) 如果 OPTIONS 标头搞砸了,为什么浏览器会继续执行 POST?

哦,好吧,一如既往的教训——不要重复自己。

于 2013-06-28T03:08:31.940 回答