25

触发 AJAXGEThttp://qualifiedlocalhost:8888/resource.json启动预期的 CORS 预飞行,看起来它正确返回:

飞行前OPTIONS请求

Request URL:http://qualifiedlocalhost:8888/resource.json
Request Method:OPTIONS
Status Code:200 OK

请求标头

Accept:*/*
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Access-Control-Request-Headers:accept, origin, x-requested-with
Access-Control-Request-Method:GET
Cache-Control:no-cache
Connection:keep-alive
Host:qualifiedlocalhost:8888
Origin:http://localhost:9000
Pragma:no-cache
Referer:http://localhost:9000/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36

响应标头

Access-Control-Allow-Headers:Content-Type, X-Requested-With
Access-Control-Allow-Methods:GET,PUT,POST,DELETE
Access-Control-Allow-Origin:*
Connection:keep-alive
Content-Length:2
Content-Type:text/plain
Date:Thu, 01 Aug 2013 19:57:43 GMT
Set-Cookie:connect.sid=s%3AEpPytDm3Dk3H9V4J9y6_y-Nq.Rs572s475TpGhCP%2FK%2B2maKV6zYD%2FUg425zPDKHwoQ6s; Path=/; HttpOnly
X-Powered-By:Express

看起来不错?

所以它应该工作,对吧?

但是随后的请求仍然失败并出现错误XMLHttpRequest cannot load http://qualifiedlocalhost:8888/resource.json. Origin http://localhost:9000 is not allowed by Access-Control-Allow-Origin.

真实的请求

Request URL:http://qualifiedlocalhost:8888/resource.json

请求标头

Accept:application/json, text/plain, */*
Cache-Control:no-cache
Origin:http://localhost:9000
Pragma:no-cache
Referer:http://localhost:9000/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
X-Requested-With:XMLHttpRequest

帮助!

也许它就在我面前凝视着。但是,有什么想法吗?以防万一它是相关的......我正在使用 AngularJS$resource并与 CompoundJS 服务器交谈。

4

5 回答 5

14

将您的 Access-Control-Allow-Methods: 'GET, POST' 更改为 'GET, POST, PUT, DELETE'

前:

   app.use(function(req, res, next) {
        res.setHeader('Access-Control-Allow-Origin', '*');
        res.setHeader('Access-Control-Allow-Methods', 'GET, POST');
        res.setHeader('Access-Control-Allow-Headers', 'X-Requested-With,content-type, Authorization');
        next();
    });

后:

app.use(function(req, res, next) {
    res.setHeader('Access-Control-Allow-Origin', '*');
    res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT ,DELETE');
    res.setHeader('Access-Control-Allow-Headers', 'X-Requested-With,content-type, Authorization');
    next();
});
于 2016-06-10T06:38:20.930 回答
9

最近有同样的问题。问题是Access-Control-Allow-Origin标头(以及,如果您使用它,Access-Control-Allow-Credentials标头)必须在预检响应和实际响应中发送。

您的示例仅在预检响应中具有它。

于 2014-12-08T20:24:54.330 回答
6

您的 Web 服务器/获取功能是否还包括 HTTP 标头:Access-Control-Allow-Origin?我最终使用 AngularJS 1.0.7 和一个远程 Java servlet 成功地添加了这个功能。这是我的 Java 代码片段——AngularJS 客户端不需要更改:

小服务程序:

@Override
protected void doOptions(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    // Send Response
    super.doOptions(request,  response);
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Headers", "Content-Type, X-Requested-With");
}

@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    /* ... */
    response.setHeader("Access-Control-Allow-Origin", "*");
}

一个更优雅的替代方案是 servlet 过滤器。

于 2013-08-24T19:39:45.097 回答
4

我们注意到了同样的问题,服务器发送了正确的 CORS 标头,但是浏览器失败了,因为它认为 CORS 要求没有得到满足。更有趣的是,在我们的例子中,它只发生在同一浏览器会话中的一些 AJAX 调用上,但不是全部。

工作原理...

清除浏览器缓存解决了我们案例中的问题——我目前的工作理论是,这与跨源服务器设置的 cookie 有关。我注意到在您的场景中,设置了一个 cookie 作为对飞行前 OPTIONS 请求的响应的一部分。您是否尝试过让该服务器不为来自不同来源的请求设置任何 cookie?

但是,我们注意到在某些情况下,重置浏览器后问题再次出现。此外,在私有模式下运行浏览器会导致问题消失,这表明存在与浏览器缓存中的内容有关的问题。

作为参考,这是我的场景(我几乎把它作为一个新问题发布在 SO 中,但把它放在这里):

我们遇到了一个错误,其中一些通过 jQuery.ajax 发出的 CORS GET 请求失败。在给定的浏览器会话中,我们看到飞行前的 OPTIONS 请求通过,然后是实际请求。在同一个会话中,一些请求通过而其他请求失败。

浏览器网络控制台中的请求和响应序列如下所示:

首先是 OPTIONS 飞行前请求

OPTIONS /api/v1/users/337/statuses
HTTP/1.1 Host: api.obfuscatedserver.com 
Connection: keep-alive 
Access-Control-Request-Method: GET 
Origin: http://10.10.8.84:3003 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36
Access-Control-Request-Headers: accept, origin, x-csrf-token, auth 
Accept: */* Referer: http://10.10.8.84:3003/ 
Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8

得到这样的回应,

HTTP/1.1 200 OK 
Date: Tue, 06 Aug 2013 19:18:22 GMT 
Server: Apache/2.2.22 (Ubuntu) 
Access-Control-Allow-Origin: http://10.10.8.84:3003 
Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT 
Access-Control-Max-Age: 1728000 
Access-Control-Allow-Credentials: true 
Access-Control-Allow-Headers: accept, origin, x-csrf-token, auth 
X-UA-Compatible: IE=Edge,chrome=1 
Cache-Control: no-cache 
X-Request-Id: 4429c4ea9ce12b6dcf364ac7f159c13c 
X-Runtime: 0.001344 
X-Rack-Cache: invalidate, pass 
X-Powered-By: Phusion 
Passenger 4.0.2 
Status: 200 OK 
Vary: Accept-Encoding
Content-Encoding: gzip

然后是实际的 GET 请求,

GET https://api.obfuscatedserver.com/api/v1/users/337
HTTP/1.1 
Accept: application/json, text/javascript, */*; q=0.01 
Referer: http://10.10.8.84:3003/ 
Origin: http://10.10.8.84:3003 
X-CSRF-Token: xxxxxxx 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.95 Safari/537.36 
auth: xxxxxxxxx

在浏览器控制台中出现错误,例如,

XMLHttpRequest
  cannot load https://api.obfuscatedserver.com/api/v1/users/337.
  Origin http://10.10.8.84:3003 is not allowed by Access-Control-Allow-Origin.

附加调试

我可以通过 curl 重播相同的序列,并且我看到来自服务器的有效响应。即,它们具有应该让请求通过的预期 CORS 标头。

在私人/隐身浏览器窗口中运行相同的场景并没有重现该问题。这导致我尝试清除缓存,这也使问题消失了。但过了一会儿,它又回来了。

该问题在 iPhone safari 以及 OSX 桌面上的 Chrome 上重现。

我真正需要帮助的地方

我怀疑在跨域域中设置了一些 cookie,这些 cookie 在这里涉及并可能暴露浏览器中的错误。我可以在浏览器(本机堆栈?)中设置工具或断点来尝试进一步调试吗?评估 CORS 策略的代码中的断点将是理想的。

于 2013-08-08T00:05:43.797 回答
0

看起来您对“选项”的回复工作正常。问题似乎出在“获取”响应中。

您将希望您的“获取”响应返回与“选项”响应相同的 CORS 标头。

特别是,“获取”响应应包括

Access-Control-Allow-Headers:Content-Type, X-Requested-With
Access-Control-Allow-Methods:GET,PUT,POST,DELETE
Access-Control-Allow-Origin:*
于 2013-09-12T16:52:21.030 回答