3

我一直试图诊断一个问题,即使用 HTTP Basic Auth 的 GET 请求在 Node 中成功,但在浏览器中失败。该问题直接表现为 CORS 故障(401 页面上没有 Access-Control-Allow-Origin)。

request.js:119 OPTIONS http://HOST?PARAMS 401 (Unauthorized)
ClientRequest._onFinish @ request.js:119
(anonymous) @ request.js:61
...

17:53:59.170 localhost/:1 Failed to load http://HOST?PARAMS: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:9966' is therefore not allowed access. The response had HTTP status code 401. If an opaque response serves your needs, set the request's mode to 'no-cors' to fetch the resource with CORS disabled.

请求如下所示:

const request = require("request-promise");
const options = {"url":"http://...?","auth":{"user":"...","pass":"..."},"json":true,"qs":{...},"headers":{},"resolveWithFullResponse":true}
request.get(options).then(...);

此请求如何在 Chrome 中显示:

在此处输入图像描述

令我惊讶的是:

  • 方法是 OPTIONS,而不是 GET。(我没有明确要求。)
  • 我的身份验证凭据不包含在标题中(即使我没有设置sendImmediately: false
  • “显示临时标题”警告。

我想知道的:

  • 这是预期的行为吗?
  • 如果没有,有什么问题?
  • 如果是,出了什么问题?:)

在命令行上运行等效的请求似乎可以正常工作:

curl -I 'http://MYUSERNAME:MYPASSWORD@SAMEURL?SAME=PARAMETERS' -H 'Origin: http://localhost:4466' -X OPTIONS
HTTP/1.1 200 OK
Date: Wed, 20 Jun 2018 07:29:28 GMT
Server: Apache-Coyote/1.1
Access-Control-Allow-Origin: http://localhost:4466
Access-Control-Allow-Credentials: true
Access-Control-Expose-Headers: Access-Control-Allow-Origin,Access-Control-Allow-Credentials
Vary: Origin
X-Frame-Options: SAMEORIGIN
Allow: GET,HEAD,POST,OPTIONS
Content-Length: 0

但是我注意到,如果没有 URL 中提供的凭据,响应中就没有 CORS 标头:

HTTP/1.1 401 Unauthorized
Date: Wed, 20 Jun 2018 07:45:26 GMT
Server: Apache/2.4.29 (Unix) OpenSSL/1.0.2l
WWW-Authenticate: Basic realm="Authentication Required"
Content-Length: 381
Content-Type: text/html; charset=iso-8859-1

这是正确的行为吗?

假设

我猜测:

  • 浏览器正在发送 OPTIONS “飞行前”请求,因为它必须这样做,因为该请求不是“简单请求”。(不完全清楚这是请求库还是浏览器本身这样做)
  • 服务器响应 401,因为未提供凭据,但未添加应有的 CORS 标头。
  • 如果没有 CORS 标头,浏览器会阻止请求库访问结果,因此无法完成身份验证。

我不确定的是:

  • 服务器是否配置错误?
  • Request 是否未能在 OPTIONS 预检请求中传递凭据?
4

1 回答 1

3

服务器配置错误。它没有正确启用 CORS。要正确启用 CORS,它必须使用状态代码或状态代码响应未经身份验证OPTIONS的请求。200204

Request不是“未能”在OPTIONS预检请求中传递凭据。Request甚至没有提出OPTIONS请求。相反,浏览器引擎是独立的。

在您自己的代码中为请求指定凭据标志不会导致凭据被添加到预检OPTIONS请求中。相反,凭据只会从您自己的代码中添加到GET请求中——也就是说,如果预检成功并且浏览器实际上会继续发出该GET请求。

这是因为 Fetch 中的 CORS 协议要求指定浏览器必须忽略预检OPTIONS请求中的所有凭据。

请参阅https://fetch.spec.whatwg.org/#ref-for-credentials%E2%91%A5

CORS 预检请求从不包含凭据

因此,您遇到的行为是有意的,设计使然。

有关更详细的相关解释,请参阅HTTP 状态代码 401 的答案,即使我正在发送 Authorization request header

于 2018-06-21T02:38:16.803 回答