如何在node.js上的express.js框架中启用跨源资源共享(CORS)

时间:2012-06-24 21:59:26

标签: node.js express cors webserver cross-domain

我正在尝试在node.js中构建一个支持跨域脚本的Web服务器,同时仍然提供来自公共目录的静态文件。我正在使用express.js,我不确定如何允许跨域脚本(Access-Control-Allow-Origin: *)。

我看到this post,我觉得这没有帮助。

var express = require('express')
  , app = express.createServer();

app.get('/', function (req, res, next) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "X-Requested-With");
    next();
});

app.configure(function () {
    app.use(express.methodOverride());
    app.use(express.bodyParser());
    app.use(app.router);
});

app.configure('development', function () {

    app.use(express.static(__dirname + '/public'));
    app.use(express.errorHandler({ dumpExceptions: true, showStack: true }));
});

app.configure('production', function () {


    var oneYear = 31557600000;
    //    app.use(express.static(__dirname + '/public', { maxAge: oneYear }));
    app.use(express.static(__dirname + '/public'));
    app.use(express.errorHandler());
});

app.listen(8888);
console.log('express running at http://localhost:%d', 8888);

8 个答案:

答案 0 :(得分:156)

结帐the example from enable-cors.org

  

在node.js上的ExpressJS应用程序中,对您的路线执行以下操作:

app.all('/', function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "X-Requested-With");
  next();
 });

app.get('/', function(req, res, next) {
  // Handle the get for this route
});

app.post('/', function(req, res, next) {
 // Handle the post for this route
});

第一次调用(app.all)应该在你的应用程序中的所有其他路由之前(或者至少是你想要启用CORS的路由)。

[编辑]

如果您希望标题也显示为静态文件,请尝试此操作(确保在调用use(express.static())之前确定它:

app.use(function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "X-Requested-With");
  next();
});

我使用您的代码对此进行了测试,并获得了public目录中资产的标题:

var express = require('express')
  , app = express.createServer();

app.configure(function () {
    app.use(express.methodOverride());
    app.use(express.bodyParser());
    app.use(function(req, res, next) {
      res.header("Access-Control-Allow-Origin", "*");
      res.header("Access-Control-Allow-Headers", "X-Requested-With");
      next();
    });
    app.use(app.router);
});

app.configure('development', function () {
    app.use(express.static(__dirname + '/public'));
    app.use(express.errorHandler({ dumpExceptions: true, showStack: true }));
});

app.configure('production', function () {
    app.use(express.static(__dirname + '/public'));
    app.use(express.errorHandler());
});

app.listen(8888);
console.log('express running at http://localhost:%d', 8888);

当然,您可以将该功能打包到一个模块中,这样您就可以执行类似

的操作 
// cors.js

module.exports = function() {
  return function(req, res, next) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "X-Requested-With");
    next();
  };
}

// server.js

cors = require('./cors');
app.use(cors());

答案 1 :(得分:52)

在@Michelle Tilley解决方案之后,显然它起初对我不起作用。不知道为什么,也许我正在使用chrome和不同版本的节点。在做了一些小调整后,它现在对我有用。 

app.all('*', function(req, res, next) {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'PUT, GET, POST, DELETE, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
});

如果某人遇到与我类似的问题,这可能会有所帮助。

答案 2 :(得分:11)

尝试使用此cors npm模块。

var cors = require('cors')

var app = express()
app.use(cors())

此模块提供了许多功能来微调cors设置,例如域名白名单,为特定api启用cors等。

答案 3 :(得分:2)

我用这个:

var app = express();

app
.use(function(req, res, next){
    res.header('Access-Control-Allow-Origin', '*');
    res.header('Access-Control-Allow-Headers', 'X-Requested-With');
    next();
})
.options('*', function(req, res, next){
    res.end();
})
;

h.readFiles('controllers').forEach(function(file){
  require('./controllers/' + file)(app);
})
;

app.listen(port);
console.log('server listening on port ' + port);

此代码假定您的控制器位于controllers目录中。此目录中的每个文件都应该是这样的:

module.exports = function(app){

    app.get('/', function(req, res, next){
        res.end('hi');
    });

}

答案 4 :(得分:1)

建议使用cors express模块​​。这允许您将域列入白名单,允许/限制域专门用于路由等,

答案 5 :(得分:0)

如果你想使用" cookie"你必须设置Access-Control-Allow-Credentials: true。通过"证书" 

app.all('*', function(req, res, next) {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Credentials', true);
  res.header('Access-Control-Allow-Methods', 'PUT, GET, POST, DELETE, OPTIONS');
  res.header('Access-Control-Allow-Headers', 'Content-Type');
  next();
});

答案 6 :(得分:0)

app.use(function(req, res, next) {
var allowedOrigins = [
  "http://localhost:4200"
];
var origin = req.headers.origin;
console.log(origin)
console.log(allowedOrigins.indexOf(origin) > -1)
// Website you wish to allow to
if (allowedOrigins.indexOf(origin) > -1) {
  res.setHeader("Access-Control-Allow-Origin", origin);
}

// res.setHeader("Access-Control-Allow-Origin", "http://localhost:4200");

// Request methods you wish to allow
res.setHeader(
  "Access-Control-Allow-Methods",
  "GET, POST, OPTIONS, PUT, PATCH, DELETE"
);

// Request headers you wish to allow
res.setHeader(
  "Access-Control-Allow-Headers",
  "X-Requested-With,content-type,Authorization"
);

// Set to true if you need the website to include cookies in the requests sent
// to the API (e.g. in case you use sessions)
res.setHeader("Access-Control-Allow-Credentials", true);

// Pass to next layer of middleware
next();

});

将此代码添加到index.js或server.js文件中,并根据需要更改允许的原始数组。

答案 7 :(得分:-6)

我需要采取的另一个步骤是将我的网址从http://localhost切换为http://127.0.0.0

相关问题
最新问题