1

任务

在 Bluemix 上托管的 Kitura 服务器上启用 CORS。

开发机
OS X 10.12.1,Swift 版本 3.0.2。

部署到
Ubuntu 14.04、Swift 3.0.1。

代码

我正在使用Kitura-CORSIBM 的中间件来启用 CORS。

.Package(url: "https://github.com/IBM-Swift/Kitura-CORS", majorVersion: 1, minor: 4)

这是我配置应用程序的方式:

let options = Options(allowedOrigin: .all, credentials: true, exposedHeaders: ["X-Access-Token"])
let cors = CORS(options: options)
self.router.all(middleware: cors)

发现

  1. 来自 Postman的OPTIONS请求https://adeptness.eu-gb.mybluemix.net返回以下标头:

    • 连接→保持活动状态
    • 内容类型 → 文本/html
    • 日期 → 2016 年 12 月 21 日星期三 19:12:04 GMT
    • 传输编码 → 分块
    • X-Backside-Transport → OK OK
    • X-Global-Transaction-ID → 4203875359

  2. 该应用程序通过了测试 CORSGET请求,https://adeptness.eu-gb.mybluemix.net并报告了以下公开的响应标头:

    • 内容类型 → 文本/html

问题

我不完全确定 CORS 是否设置正确。为什么Find #1 的响应中没有X-Access-Token标头?OPTIONS

我已经阅读了 Mozilla 关于 CORS 的文档,尽管我确实理解浏览器会在飞行前请求并阻止所有 CORS 请求,除非服务器明确允许。我找不到任何关于如何在无需模拟“测试”前端的情况下测试 CORS 服务器端的资源。

应该如何测试 CORS?

4

1 回答 1

2

正如您所说,一般来说,CORS 是关于告诉浏览器允许哪些跨域请求,使开发人员能够突破旧的 JavaScript 沙箱,该沙箱将 XHR 请求限制在加载 HTML 页面的同一服务器。

并非所有跨源请求都被允许。Kitura-CORS 包允许服务器开发人员向浏览器提供有关允许哪种请求的信息。同样,这完全是关于发送服务器的请求,而不是关于响应。

暴露的Headers 参数使服务器开发人员能够控制在发送到服务器的请求中允许哪些HTTP 标头。

要进行测试,您需要有一对服务器,其中一个加载了一个简单的网页,其中包含向第二个服务器发出 XHR 请求的 JavaScript。两台服务器需要位于不同的域中(即一台本地在您的笔记本电脑上,另一台在Bluemix 上)。如果第二个服务器在其响应中传递它与请求一起收到的标头,您将能够看到传递了什么。

于 2017-01-10T13:33:16.607 回答