49

看起来根据 CORS 规范,GET 和 POST 请求应该透明地遵循 302 重定向。但 Chrome 正在取消我的请求。

这是执行请求的 JS:

var r = new XMLHttpRequest();
r.open('GET', 'https://dev.mysite.com/rest', true);
r.send();

这是应该发生的事情:

  1. 客户端:对 /rest 的 XHR POST 请求
  2. 服务器:响应 HTTP 302 重定向到 /rest/
  3. 客户:遵循该重定向

但是在第 2 步之后,Chrome 会取消该请求。如果没有 HTTP 302,请求将完美运行。我已经证实了这一点。

当请求运行时,我可以在 Chrome 的网络面板中看到只有一个 XHR——一个取消的 POST 请求,没有响应标头或响应正文。

使用 Chrome 的 net-internals 工具调试,我看到服务器发送了一个响应,然后请求被取消。这是请求的输出:

79295: URL_REQUEST
https://dev.mysite.com/rest
Start Time: 2013-08-30 12:41:11.637

t=1377880871637 [st=    0] +REQUEST_ALIVE  [dt=13455]
t=1377880871638 [st=    1]    URL_REQUEST_BLOCKED_ON_DELEGATE  [dt=1]
                              --> delegate = "extension Adblock Plus"
t=1377880871639 [st=    2]   +URL_REQUEST_START_JOB  [dt=13453]
                              --> load_flags = 143540480 (DO_NOT_SAVE_COOKIES | DO_NOT_SEND_AUTH_DATA | DO_NOT_SEND_COOKIES | ENABLE_LOAD_TIMING | MAYBE_USER_GESTURE | REPORT_RAW_HEADERS | VERIFY_EV_CERT)
                              --> method = "POST"
                              --> priority = 2
                              --> upload_id = "0"
                              --> url = "https://dev.mysite.com/rest"
t=1377880871639 [st=    2]      HTTP_CACHE_GET_BACKEND  [dt=0]
t=1377880871639 [st=    2]     +HTTP_STREAM_REQUEST  [dt=7]
t=1377880871646 [st=    9]        HTTP_STREAM_REQUEST_BOUND_TO_JOB
                                  --> source_dependency = 79296 (HTTP_STREAM_JOB)
t=1377880871646 [st=    9]     -HTTP_STREAM_REQUEST
t=1377880871646 [st=    9]     +HTTP_TRANSACTION_SEND_REQUEST  [dt=0]
t=1377880871646 [st=    9]        HTTP_TRANSACTION_SEND_REQUEST_HEADERS
                                  --> GET /facultyportfolio-rest HTTP/1.1
                                      Host: dev.liberty.edu
                                      Connection: keep-alive
                                      Content-Length: 46
                                      Origin: http://localhost:8080
                                      User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.62 Safari/537.36
                                      Content-Type: application/json; charset=UTF-8
                                      Accept: */*
                                      Referer: http://localhost:8080/ajaxtest.html
                                      Accept-Encoding: gzip,deflate,sdch
                                      Accept-Language: en-US,en;q=0.8
t=1377880871646 [st=    9]        HTTP_TRANSACTION_SEND_REQUEST_BODY
                                  --> did_merge = true
                                  --> is_chunked = false
                                  --> length = 46
t=1377880871646 [st=    9]     -HTTP_TRANSACTION_SEND_REQUEST
t=1377880871646 [st=    9]     +HTTP_TRANSACTION_READ_HEADERS  [dt=1001]
t=1377880871646 [st=    9]        HTTP_STREAM_PARSER_READ_HEADERS  [dt=1000]
t=1377880872646 [st= 1009]        HTTP_TRANSACTION_READ_RESPONSE_HEADERS
                                  --> HTTP/1.1 302 Found
                                      Date: Fri, 30 Aug 2013 16:41:11 GMT
                                      Server: Apache/2
                                      Access-Control-Allow-Origin: http://localhost:8080
                                      Access-Control-Allow-Credentials: true
                                      Location: https://dev.mysite.com/rest/
                                      Content-Language: en-US
                                      Vary: Accept-Encoding,User-Agent
                                      Content-Encoding: gzip
                                      Content-Length: 20
                                      Connection: close
                                      Content-Type: text/plain; charset=UTF-8
t=1377880872647 [st= 1010]     -HTTP_TRANSACTION_READ_HEADERS
t=1377880872647 [st= 1010]     +URL_REQUEST_BLOCKED_ON_DELEGATE  [dt=12445]
t=1377880885091 [st=13454]        CANCELLED
t=1377880885092 [st=13455]   -URL_REQUEST_START_JOB
                              --> net_error = -3 (ERR_ABORTED)
t=1377880885092 [st=13455] -REQUEST_ALIVE

最后,您可以看到“已取消”,因为“URL_REQUEST_BLOCKED_ON_DELEGATE”。我不知道那是什么意思。但同样,如果没有 HTTP 302 重定向,则不会发生错误。

有谁知道是什么导致 Chrome 取消此请求?

4

4 回答 4

30

这里的答案是混合的,暗示代码等中的某些设置可能会解决 CORS 的重定向问题,但 CORS 规范明确指定了此类 CORS 重定向何时失败/通过:根据规范,浏览器应该

  1. 如果对重定向资源的请求不需要飞行前检查(例如,没有自定义标头的简单 CORS 请求),则允许 3XX 重定向。见https://www.w3.org/TR/cors/#simple-cross-origin-request-0

如果未设置手动重定向标志并且响应的 HTTP 状态代码为 301、302、303、307 或 308 应用重定向步骤

  1. 如果对重定向资源的请求需要飞行前检查,则不允许 3XX 重定向。见https://www.w3.org/TR/cors/#cross-origin-request-with-preflight-0

如果响应的 HTTP 状态代码为 301、302、303、307 或 308,则应用缓存和网络错误步骤。

我在 github repo 中探索了各种 CORS 场景:https ://github.com/monmohan/cors-experiment 。

这个重定向失败的特定问题也可以通过这里的捆绑包轻松地单独复制:https ://github.com/monmohan/cors-experiment/tree/master/issue

于 2016-08-07T02:40:24.023 回答
12

我发现这篇关于在您的 302 响应中设置正确的 Access-Control-Allow-Origin CORS 标头的帖子很有帮助,至少在我听起来相似的情况下是这样。

对该问题的调查表明,他的 XHR 并未直接登陆启用 CORS 的 URL,而是通过 HTTP 302(重定向)响应重定向到该 URL。

所以请记住,重定向 URL 还必须包含一个 Access-Control-Allow-Origin 标头,否则浏览器将在其尝试的跨域请求时停在那里。

我还发现,在 Access-Control-Allow-Origin 之外设置额外的 CORS 标头通常会导致交易被取消。

于 2013-10-11T14:46:10.243 回答
10

http://httpstatus.es/302

如果收到 302 状态码以响应 GET 或 HEAD 以外的请求,除非用户可以确认,否则用户代理不得自动重定向请求,因为这可能会改变发出请求的条件。

于 2013-09-02T05:21:49.607 回答
2

我还遇到了 Chrome 没有遵循 CORS 请求的重定向的问题。对我来说,问题是我使用的 JS 框架(Sencha Touch)添加了一个请求标头: X-Requested-With: "XMLHttpRequest"

一旦我删除了它(在 Sencha Touch 中通过调用 Ext.Ajax.setUseDefaultXhrHeader(false);),它就像一个魅力。

不知道为什么,但我希望这些信息对某人有所帮助。

于 2013-09-09T13:42:37.953 回答