3
  1. 我有一个 JavaScript 应用程序,假设它部署在portal.example.com.
  2. 这包括一个<script>标签,该标签加载来自 的源assets.example.com
  3. 该 JavaScript 文件向 API 发出 HTTP 请求admin.example.com

由于 CORS 飞行前失败,此 API 请求出错。

Failed to load http://admin.example.com/v0/user/navigation: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://portal.example.com' is therefore not allowed access.

实际OPTIONS请求如下

OPTIONS /v0/user/navigation HTTP/1.1
Host: admin.example.com
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: http://portal.example.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.84 Safari/537.36
Access-Control-Request-Headers: authorization,x-correlation-id,x-user-domain
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9,en-GB;q=0.8

实际OPTIONS响应如下

HTTP/1.1 200
Allow: GET
Access-Control-Allow-Headers: authorization,x-correlation-id,x-user-domain
Access-Control-Allow-Methods: GET
Access-Control-Allow-Origin: http://portal.example.com
Vary: Origin
Content-Length: 0
Date: Tue, 20 Feb 2018 12:12:19 GMT
Set-Cookie: 97d2c19dadc3933a73dce9bec0748df1=5a15895c5e0f5b526c177132cb4aa666; path=/; HttpOnly
Cache-control: private
X-RBT-SCAR: 10.127.48.7:777511903:1000

我认为问题是因为请求实际上来自发出请求的脚本assets.example.com。所以我应该Access-Control-Allow-Origin: http://assets.example.comOPTIONS回复中返回。但是,我遵循了W3C的建议。

Access-Control-Allow-Origin 标头指示是否可以通过在响应中返回 Origin 请求标头的值“*”或“null”来共享资源。

那么我是否误解了 CORS,或者浏览器是否发送了Origin主要执行 URL 而不是发出请求的脚本的 URL?

更新

获取响应

HTTP/1.1 200
X-Correlation-Id: 8978b245-081a-4c4a-b4c9-73f2920ab55c
Content-Type: application/vnd.example+json
Transfer-Encoding: chunked
Date: Tue, 20 Feb 2018 13:22:39 GMT
Set-Cookie: 97d2c19dadc3933a73dce9bec0748df1=dc4e3543c3071d752959e7176c5e4d29; path=/; HttpOnly
Cache-control: private
X-RBT-SCAR: 10.127.48.7:778160108:2000
4

2 回答 2

5

No 'Access-Control-Allow-Origin' header is present on the requested resource. 这意味着缺少“Access-Control-Allow-Origin”标头,而不是您的域不被允许。

如果你没有权限,你会看到类似

The 'Access-Control-Allow-Origin' header has a value 'http://www.example.com' that is not equal to the supplied origin.

因此,要解决您的问题,您需要配置GET响应以提供必要的 CORS 标头以及OPTIONS响应。

在您编辑的问题中,GET响应标题没有提供任何内容, Access-Control-*这就是您收到错误的原因!

于 2018-02-20T13:32:55.397 回答
1

您的 CORS 预检没有失败 - 您收到 200 响应和所有必需的 CORS 响应标头...

但是,您没有在 GET 响应中返回任何 CORS 响应标头 -就是失败的原因。至少,您需要返回一个Access-Control-Allow-Origin与 OPTIONS 响应中返回的响应头相匹配的响应头。

因此,只需将其包含在您的 GET 响应中,就可以了:

Access-Control-Allow-Origin: http://portal.example.com

最后,Origin请求标头是由浏览器添加的,相信我 - 这是正确的。但是发送什么值并不重要,因为只需要Access-Control-Allow-Origin响应标头Origin 请求标头匹配(通过具有 '*' 值或与 Origin 值完全匹配)。

于 2018-02-21T17:08:20.383 回答