我有一个简单的 PHP 脚本,我正在尝试跨域 CORS 请求:
<?php
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: *");
...
然而我仍然得到错误:
请求头字段
X-Requested-With不允许Access-Control-Allow-Headers
有什么我想念的吗?
user1022241
问问题
431717 次
10 回答
369
正确处理 CORS 请求有点复杂。这是一个可以更充分(和正确)响应的函数。
/**
* An example CORS-compliant method. It will allow any GET, POST, or OPTIONS requests from any
* origin.
*
* In a production environment, you probably want to be more restrictive, but this gives you
* the general idea of what is involved. For the nitty-gritty low-down, read:
*
* - https://developer.mozilla.org/en/HTTP_access_control
* - https://fetch.spec.whatwg.org/#http-cors-protocol
*
*/
function cors() {
// Allow from any origin
if (isset($_SERVER['HTTP_ORIGIN'])) {
// Decide if the origin in $_SERVER['HTTP_ORIGIN'] is one
// you want to allow, and if so:
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400'); // cache for 1 day
}
// Access-Control headers are received during OPTIONS requests
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_METHOD']))
// may also be using PUT, PATCH, HEAD etc
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']))
header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
exit(0);
}
echo "You have CORS!";
}
安全说明
根据已批准的来源列表检查 HTTP_ORIGIN 标头。
如果来源未被批准,那么您应该拒绝该请求。
请阅读规范。
TL;博士
当浏览器想要执行跨站点请求时,它首先通过对 URL 的“飞行前”请求确认这是可以的。通过允许 CORS,您告诉浏览器来自该 URL 的响应可以与其他域共享。
CORS 不会保护您的服务器。CORS 试图通过告诉浏览器对与其他域共享响应的限制来保护您的用户。通常这种共享是完全禁止的,所以 CORS 是一种在浏览器的正常安全策略中戳破漏洞的方法。这些漏洞应尽可能小,因此请始终根据某种内部列表检查 HTTP_ORIGIN。
这里有一些危险,特别是如果 URL 提供的数据通常受到保护。您有效地允许源自其他服务器的浏览器内容读取(并可能操纵)您服务器上的数据。
如果您打算使用 CORS,请仔细阅读协议(它非常小)并尝试了解您在做什么。为此目的,代码示例中提供了一个参考 URL。
标头安全
已经观察到 HTTP_ORIGIN 标头是不安全的,这是真的。事实上,所有 HTTP 标头对于该术语的不同含义都是不安全的。除非标头包含可验证的签名/hmac,或者整个对话都通过 TLS 进行身份验证,否则标头只是“浏览器告诉我的东西”。
在这种情况下,浏览器说“来自域 X 的对象想要从这个 URL 获得响应。可以吗?” CORS 的重点是能够回答“是的,我会允许”。
于 2012-03-26T03:05:03.203 回答
102
我遇到了同样的错误,并在我的后端脚本中使用以下 PHP 修复了它:
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST');
header("Access-Control-Allow-Headers: X-Requested-With");
于 2014-09-04T09:06:23.230 回答
73
Access-Control-Allow-Headers不允许作为接受值,请参阅此处*的 Mozilla 文档。
而不是星号,您应该发送接受的标头(首先X-Requested-With如错误所示)。
更新:
*现在接受的是Access-Control-Allow-Headers。
*对于没有凭据的请求(没有 HTTP cookie 或 HTTP 身份验证信息的请求),该值仅计为特殊的通配符值。在带有凭据的请求中,它被视为*没有特殊语义的文字标头名称。请注意,授权标头不能使用通配符,并且始终需要明确列出。
于 2012-01-03T22:10:08.170 回答
46
互联网范围内的许多描述都没有提到指定Access-Control-Allow-Origin是不够的。这是一个对我有用的完整示例:
<?php
if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, DELETE, PUT, PATCH, OPTIONS');
header('Access-Control-Allow-Headers: token, Content-Type');
header('Access-Control-Max-Age: 1728000');
header('Content-Length: 0');
header('Content-Type: text/plain');
die();
}
header('Access-Control-Allow-Origin: *');
header('Content-Type: application/json');
$ret = [
'result' => 'OK',
];
print json_encode($ret);
于 2017-07-26T14:23:50.477 回答
27
我只是设法让 dropzone 和其他插件与这个修复一起工作(angularjs + php 后端)
header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Credentials: true");
header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
header('Access-Control-Max-Age: 1000');
header('Access-Control-Allow-Headers: Origin, Content-Type, X-Auth-Token , Authorization');
将此添加到您的 upload.php 或您将发送请求的位置(例如,如果您有 upload.html 并且需要将文件附加到 upload.php,然后复制并粘贴这 4 行)。此外,如果您在 chrome/mozilla 中使用 CORS 插件/插件,请务必多次切换它们,以便启用 CORS
于 2016-11-16T12:57:20.713 回答
23
如果您想从 PHP 创建 CORS 服务,您可以将此代码用作文件中处理请求的第一步:
// Allow from any origin
if(isset($_SERVER["HTTP_ORIGIN"]))
{
// You can decide if the origin in $_SERVER['HTTP_ORIGIN'] is something you want to allow, or as we do here, just allow all
header("Access-Control-Allow-Origin: {$_SERVER['HTTP_ORIGIN']}");
}
else
{
//No HTTP_ORIGIN set, so we allow any. You can disallow if needed here
header("Access-Control-Allow-Origin: *");
}
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Max-Age: 600"); // cache for 10 minutes
if($_SERVER["REQUEST_METHOD"] == "OPTIONS")
{
if (isset($_SERVER["HTTP_ACCESS_CONTROL_REQUEST_METHOD"]))
header("Access-Control-Allow-Methods: POST, GET, OPTIONS, DELETE, PUT"); //Make sure you remove those you do not want to support
if (isset($_SERVER["HTTP_ACCESS_CONTROL_REQUEST_HEADERS"]))
header("Access-Control-Allow-Headers: {$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}");
//Just exit with 200 OK with the above headers for OPTIONS method
exit(0);
}
//From here, handle the request as it is ok
于 2017-04-19T14:15:01.063 回答
13
如果我们没有正确理解 CORS 的功能,CORS 可能会令人头疼。我在 PHP 中使用它们,它们可以正常工作。参考这里
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Max-Age: 1000");
header("Access-Control-Allow-Headers: X-Requested-With, Content-Type, Origin, Cache-Control, Pragma, Authorization, Accept, Accept-Encoding");
header("Access-Control-Allow-Methods: PUT, POST, GET, OPTIONS, DELETE");
于 2017-06-13T19:24:38.303 回答
13
当使用 angular 4 作为客户端并使用 PHP 作为服务器端时,这么多代码对我来说很有效。
header("Access-Control-Allow-Origin: *");
于 2017-12-14T09:45:27.040 回答
9
这应该工作
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Headers: X-Requested-With, Content-Type, Origin, Cache-Control, Pragma, Authorization, Accept, Accept-Encoding");
于 2018-06-19T00:31:35.663 回答
0
在.htaccess中添加此代码
在标头中添加自定义身份验证密钥,例如 app_key、auth_key..etc
Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Headers: "customKey1,customKey2, headers, Origin, X-Requested-With, Content-Type, Accept, Authorization"
于 2019-06-11T16:33:50.057 回答