如何使用cURL调试CORS请求?

时间:2012-08-29 08:44:43

标签: curl cors

如何使用cURL调试CORS请求?到目前为止,我找不到任何方法来“模拟”预检请求。

5 个答案:

答案 0 :(得分:411)

以下是使用curl调试CORS请求的方法。

使用cUrl发送常规CORS请求:

curl -H "Origin: http://example.com" --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

-H "Origin: http://example.com"标志是发出请求的第三方域。替换你的域名。

--verbose标志打印出整个响应,以便您可以看到请求和响应标头。

我上面使用的网址是对支持CORS的Google API的示例请求,但您可以替换正在测试的网址。

响应应包含Access-Control-Allow-Origin标题。

使用cUrl发送预检请求:

curl -H "Origin: http://example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: X-Requested-With" \
  -X OPTIONS --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

这看起来类似于常规的CORS请求,但增加了一些内容:

-H标志向服务器发送额外的预检请求标头

-X OPTIONS标志表示这是HTTP OPTIONS请求。

如果预检请求成功,则响应应包含Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers响应标头。如果预检请求不成功,则不应显示这些标头,否则HTTP响应将不是200。

您还可以使用User-Agent标记指定其他标头,例如-H

答案 1 :(得分:32)

更新涵盖大多数情况的答案

curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
  1. http://localhost替换为您要测试的网址。
  2. 如果回复包含Access-Control-Allow-*,那么您的资源支持CORS。
  3. 替代答案的基本原理

    我时不时地谷歌这个问题,接受的答案永远不是我需要的。首先它打印响应体,这是很多文本。添加---head仅输出标题。其次,在测试S3网址时,我们需要提供额外的标头-H "Access-Control-Request-Method: GET"

    希望这会节省时间。

答案 2 :(得分:2)

下面的bash脚本“ corstest”对我有用。它基于上面的Jun's 评论。

用法

相应的[-v]网址

示例

./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *

阳性结果显示为绿色

./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS

否定结果显示为红色和蓝色

-v选项将显示完整的curl头文件

陪练

#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139

#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'  
red='\033[0;31m'  
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'

#
# a colored message 
#   params:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}


#
# show the usage
#
usage() {
  echo "usage: [-v] $0 url"
  echo "  -v |--verbose: show curl result" 
  exit 1 
}

if [ $# -lt 1 ]
then
  usage
fi

# commandline option
while [  "$1" != ""  ]
do
  url=$1
  shift

  # optionally show usage
  case $url in      
    -v|--verbose)
       verbose=true;
       ;;          
  esac
done  


if [ "$verbose" = "true" ]
then
  curl -s -X GET $url -H 'Cache-Control: no-cache' --head 
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep Access-Control)


if [ $? -eq 0 ]
then
  color_msg $green "$url $origin"
else
  color_msg $red "$url does not support CORS"
  color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi

答案 3 :(得分:1)

看起来像这样:

curl -I http://example.com

在返回的标题中查找 Access-Control-Allow-Origin: *

答案 4 :(得分:0)

预检请求是使用 OPTIONS HTTP 方法完成的。

假设您想在从 class A{ constructor(public n: number) {} } const printA = (aObj: A) => console.log(aObj.n); let m = new Map<string, A>([ ["firstItem", new A(10)], ["secondItem", new A(20)] ]); // better way to do this? m.has("firstItem") && printA(m.get("firstItem") as A); // or could do it this way const a = m.get("firstItem"); a && printA(a); POSThttp://mysite.example.com 请求上测试 CORS,命令应该是:

https://myapi.example.com/foo

响应是 curl -XOPTIONS \ -H "Access-Control-Request-Method: POST" \ -H "Origin: http://mysite.example.com" \ https://myapi.example.com/foo 或类似 OK 的错误消息。如果您愿意,您仍然可以使用 Disallowed CORS origin 包含标题。

这比其他一些做出 -iGET 请求并要求您解释标头的响应要简单得多。