Access-Control-Allow-Origin标头不起作用 - 我做错了什么?

时间:2012-08-13 11:43:12

标签: jquery http http-headers cors http-options-method

我试图使用Access-Control-Allow-Origin标头提供对HTTP OPTIONS方法的响应,复制请求中Origin标头的内容。

这显然不起作用,原因我无法弄明白。

TL; DR: OPTIONS的回应说:

Access-Control-Allow-Origin: http://10.0.0.105:9294
随后的GET有:

Origin:http://10.0.0.105:9294

Chrome说:

Origin http://10.0.0.105:9294 is not allowed by Access-Control-Allow-Origin

WTF不是吗?

更多细节......

通过查看Chrome的开发人员工具窗口,请求标头为:

OPTIONS /user/kris HTTP/1.1
Host: 10.0.0.104:8080
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: http://10.0.0.105:9294
User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.75 Safari/537.1
Access-Control-Request-Headers: origin, x-requested-with, content-type, accept
Accept: */*
Referer: http://10.0.0.105:9294/
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

响应标头是:

HTTP/1.0 200 OK
Date: Mon, 13 Aug 2012 11:23:45 GMT
Server: WSGIServer/0.1 Python/2.7.3
Content-Length: 0
Access-Control-Allow-Methods: GET, PUT, POST, DELETE, HEAD, OPTIONS
Access-Control-Max-Age: 10
Access-Control-Allow-Origin: http://10.0.0.105:9294
Access-Control-Allow-Headers: X-Requested-With, Authorization, X-Huzu-User, Content-Type, Accept
Content-Type: text/html; charset=UTF-8

在jQuery发送其OPTIONS请求并获得上述响应之后,发生了两件奇怪的事情。 OPTIONS响应(为200)在开发者控制台中显示为错误:

OPTIONS http://10.0.0.104:8080/user/kris 200 (OK)

之后拒绝GET请求。控制台出错:

XMLHttpRequest cannot load http://10.0.0.104:8080/user/kris. Origin http://10.0.0.105:9294 is not allowed by Access-Control-Allow-Origin.

我不明白为什么不。我做错了什么?

1 个答案:

答案 0 :(得分:19)

好的,我想我已经明白了。似乎必须正确处理飞行前的OPTIONS请求,但不足够,以便跨站点资源请求正常工作。

在OPTIONS请求返回满意的标题后,对同一URL 的所有后续请求的所有响应 都必须具有必要的“Access-Control-Allow-Origin”标题,否则浏览器将吞下它们,它们甚至不会出现在调试器窗口中。

因为OPTIONS响应中的某些问题,浏览器将看起来像取消了请求,但实际上,浏览器正在查看真实请求中的响应头,然后拒绝它们。 / p>

相关问题
最新问题