问题标签 [cross-origin-read-blocking]

为了不使用 jQuery（如果ajax我只需要它），我有以下ajax调用，它就像一个冠军。

我用标准的javascript重写了它，fetch如下所示：

这给了我以下错误：

无法加载https://stubidp.sustainsys.com/xxx?SAMLRequest=xxx：对预检请求的响应未通过访问控制检查：请求的资源上不存在“Access-Control-Allow-Origin”标头。因此，不允许访问源“ http://localhost:58659 ”。如果不透明的响应满足您的需求，请将请求的模式设置为“no-cors”以获取禁用 CORS 的资源。

这导致我添加以下属性：

这给了我以下警告（并且没有得到我支持的方法）

Current.js:78 跨域读取阻止 (CORB) 阻止了跨域响应https://stubidp.sustainsys.com/xxx?SAMLRequest=xxx&RelayState=q-9E0I4hwfJLlInurXY-Yu4g，MIME类型为 text/html。有关详细信息，请参阅https://www.chromestatus.com/feature/5629709824032768 。

这导致我添加以下内容：

这给了我同样的警告，但仍然没有到达我的服务器。

关于我仍然缺少什么的任何想法？

更新

在浏览 Chrome 调试器工具上的网络选项卡时，我注意到了该Copy as fetch选项。我在工作的 jQuery 调用上做了这个，并给了我以下 JavaScript：

当我运行该fetch方法时，我得到一个400 Bad request错误。

我目前正在尝试在此处实施此解决方案。该解决方案似乎非常简单且可行，因为我是两个主机的所有者。在 mysite1.com 上，我添加了以下img标签。

在我的 site2.com (django) 上，我有这样的视图：

当我实时发布此代码时。我收到以下错误：

我想如果我只是"Access-Control-Allow-Origin"在我的观点中添加这可能会解决问题，但根据这里的文档：https ://www.chromium.org/Home/chromium-security/corb-for-developers ，还有一个考虑因素：

例如，它将阻止从 a 或标签请求的跨域 text/html 响应，而将其替换为空响应。

我的假设正确吗？添加正确的标题后，我是否应该将内容类型更改为其他内容text/html？

最终，我的最终目标是我想为我可以控制的不同域设置一个 cookie（最好没有重定向）。

我正在为 shopify 管理员创建嵌入式应用程序，我的问题是，当我的应用程序调用 script_tag.json 时，它说“跨源读取阻止 (CORB) 阻止跨源响应”以下是我使用 ajax 发出发布请求的代码

我的代码有什么问题吗？这个 ajax 请求是从 iframe 发出的。

我尝试使用 AWS Lambda 和 React 前端启动具有无服务器架构的应用程序。Lambda 函数工作正常，目前正在从我的谷歌驱动器中检索数据。不幸的是，这些数据的主要目的是在我的网站上提供图片，而谷歌数据提供的唯一有效图片选项是缩略图链接。当缩放到我正在使用的大小时，这自然会变得像素化。这是我选择从 google API 调用返回的数据中检索的数据片段。

至于可供选择的内容，列表相当广泛，我不会在这里全部发布。这是我必须使用的内容的片段

图像正在使用这样的组件显示在前端

如果我使用任何其他可用的链接类型，这就是“跨域读取阻塞 (CORB) 阻止跨域响应”的结果

所以再一次，我只是想知道是否有一些我在响应数据中没有看到的东西可以用来生成更高质量的图像。如果做不到这一点，有没有办法直接从我的驱动器配置东西，以便我可以用更高质量的图像响应 API 调用？除了缩略图我什么都得不到，这似乎很奇怪。非常感谢您为此付出的任何努力或时间。

所以这个错误让我有点困惑，因为它只在尝试更新帖子而不是页面时发生。问题在于CORS，因为我不断收到的错误是

Cross-Origin Read Blocking (CORB) blocked cross-origin response http://{mydomain}.com/wp-json/wp/v2/posts/{post_id} with MIME type text/html.

我不确定为什么这个问题只在尝试更新帖子时出现，而不是在我更新页面时出现。我使用完全相同的方法（调用正确的实例），但仅在尝试更新任何帖子时收到 cors 问题。

我不确定为什么会这样，但我们将不胜感激。

iframe/@source在网站上，我经常通过设置目标地址将包含图像查看器的 HTML 加载到 iframe 中。

通常，这可以正常工作，例如http://dev2.hab.de/edoc/view.html?id=edoc_ed000216_f010_transcript显示请求的页面（http://diglib.hab.de/show_image.php?dir=drucke/li -10249&distype=imgs&image=00033）就好了。

但是就在隔壁，如果http://dev2.hab.de/edoc/view.html?id=edoc_ed000244_f02-widmungsvorrede尝试加载完全相同的页面，我会在 Chrome (67.0) 中收到错误：

Firefox (60.0.2) 在第一种情况下也显示页面，但在第二种情况下不显示，但在控制台中甚至没有显示任何消息。

任何想法，无论我错过了明显的东西还是任何其他提示，都将受到高度赞赏。

更新的问题

我想要的是，当您每次点击广告（链接）时，您都会收到“点击！”的警报。

但是当我运行代码时，它说：

未捕获的安全错误：阻止具有源“null”的框架访问跨域框架。

请在此处查看代码http://jsfiddle.net/0pmofzty/23/

这个片段是安全的。我从名为 Leadsleap 的广告公司获得脚本，这是一个不同的域。

我有人问过 API，特别想创建一个使用 NBA API (stats.nba.com) 的示例。诚然，我不是专家，但我想我会用 fetch 做一个例子。

我在 API 端点（链接）上找到了一些文档，并且可以编写一个 URI，当直接从地址栏访问时，该 URI 会解析为 JSON 数据。

我遇到的问题是，当我使用 fetch 尝试此操作时，API 似乎不允许使用 CORS，所以我做了一些阅读，据我了解，我应该能够使用“no-cors”发出不透明的请求。但是，当我使用“no-cors”参数时，我得到一个 CORB（跨源阻塞）错误，我找不到太多文档，但如果名称是一个指示，那么我认为不会发出跨源请求。

使该假设令人困惑的部分是，虽然我似乎无法找到任何使用 NBA API 客户端的示例，但我可以看到许多库似乎使用我使用 Python 和其他服务器测试过的相同端点侧方法。事实上，上面的文档来自一个 git，它就是这样做的。

作为替代方案，我确实尝试了另一个使用 NHL API (statsapi.web.nhl.com) 的示例，它似乎工作正常，我可以生成一个团队花名册列表。

这是演示该问题的简化代码。'dataURL1' 与 'cors' 配合得很好，但 dataURL2 与 'cors' 和 'no-cors' 一起出现错误。

大多数情况下，我需要确认我没有遗漏任何东西，并且我无法通过客户端发出请求。如果是这种情况，我将不胜感激对文章或内容的一些指导，以解释为什么可以在服务器端而不是客户端发出请求。

我正在尝试调用 WebAPI 方法来获取一些数据，但是Cross-Origin Read Blocking (CORB) blocked cross-origin response https://localhost:44332/api/Controller/Action with MIME type text/html.即使我在 ConfigureServices 方法中启用了 CORS 并在启动时使用了 Configure 方法中的策略，它也会引发

可能是什么原因？

我想从 URL 获取数据

https://api.binance.com/api/v1/ticker/24hr

当我在 POSTMAN 中使用 Get 类型点击这个 url 时，我得到 JSON 数据，但是当我用 AJAX 调用点击它时，我得到了这个问题

无法加载https://api.binance.com/api/v1/ticker/24hr：请求的资源上不存在“Access-Control-Allow-Origin”标头。因此，不允许访问源“ http://localhost ”。

跨域读取阻止 (CORB) 阻止了具有 MIME 类型 application/json的跨域响应https://api.binance.com/api/v1/ticker/24hr 。有关详细信息，请参阅https://www.chromestatus.com/feature/5629709824032768 。

这是我的代码

如果需要，我也可以将我的更改$.get为$.ajax. 那不会是问题。