从我的网站执行 CORS 请求时,我遇到了一个奇怪的错误(React 应用程序通过 https 与 API 对话)。这些错误仅出现在 IOS 10.3.1 和 Chrome 浏览器 (57) 上(safari 和 webViews 都可以)。由于缺乏调试 IOS Chrome 的工具,我唯一的记录是 Sentry 日志(第 3 方服务)。错误是:
SecurityError 阻止了来源为“ https://xxxxxreactapp.com ”的框架访问来源为“ https://xxxxx.fls.doubleclick.net ”的框架。协议、域和端口必须匹配。
特定请求是从 Google 跟踪代码管理器发出的,但对我自己的 API 的请求以类似的方式失败(尽管显然没有提到框架,但仍然与跨域相关)。
与我自己的 API 的典型请求握手如下所示:
OPTIONS /jp/plusbus HTTP/1.1
Host: api-xxxxxx.xxx.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Access-Control-Request-Method: POST
Origin: https://xxxxxreactapp.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36
Access-Control-Request-Headers: content-type,x-access-token,x-trace-token
Accept: */*
Referer: https://xxxxxreactapp.com/xxxx/xxx
Accept-Encoding: gzip, deflate, sdch, br
Accept-Language: en-US,en;q=0.8,el;q=0.6
以及服务器对此的响应:
HTTP/1.0 204 No Content
Connection: close
Content-Type: text/html
Access-Control-Max-Age: 1728000
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: GET,POST,PUT,DELETE,PATCH
Access-Control-Allow-Headers: DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,X-Access-Token,X-Customer-Token,X-Customer-Device,X-Brand-Id,X-User-Token,X-User-Grant-Token,X-Trace-Token,X-Smartcard-Version,Authorization
Content-Length: 0
这描述了应用程序和我都控制的 API 之间的交互,我很想认为我的设置有问题,但有两件事导致了不同的结论:
- 我也在同一个站点上使用谷歌标签管理器,它的请求也以同样的方式失败(GTM 使用标准 iframe 设置,它也尝试跨源通信)。
- 此设置一直稳定到最后一次 IOS 更新,在 IOS 10.2 中一切正常
更新
设法整理了 api 调用,这与我的代理中间件堆栈有关。但第 3 方问题仍未解决。
所有依赖 iframe 将数据传递到外部源的工具都因上述原因而失败,SecurityError Blocked a frame ....包括 GoogleTagManager 和 Paypal 付款