CORS:当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符
我有一个涉及
的设置前端服务器(Node.js,domain:localhost:3000)< --->后端(Django,Ajax,域名:localhost:8000)
浏览器< - webapp< - Node.js(服务应用)
浏览器(webapp) - > Ajax - > Django(服务ajax POST请求)
现在,我的问题在于CORS设置,webapp使用它来向后端服务器进行Ajax调用。在chrome中,我一直在
当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符。
也无法在Firefox上运行。
我的Node.js设置为:
var allowCrossDomain = function(req, res, next) {
res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
next();
};
在Django我正在使用this middleware along with this
webapp会发出如下请求:
$.ajax({
type: "POST",
url: 'http://localhost:8000/blah',
data: {},
xhrFields: {
withCredentials: true
},
crossDomain: true,
dataType: 'json',
success: successHandler
});
因此,webapp发送的请求标头如下:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"
这是响应标题:
Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json
我哪里错了?!
编辑1:我一直在使用chrome --disable-web-security,但现在想要实际工作。
编辑2:答案:
所以,我的解决方案django-cors-headers配置:
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)
10 个答案:
答案 0 :(得分:201)
这是安全的一部分,你不能这样做。如果您要允许凭据,则Access-Control-Allow-Origin不得使用*。您必须指定确切的协议+域+端口。供参考,请参阅以下问题:
- Access-Control-Allow-Origin wildcard subdomains, ports and protocols
- Cross Origin Resource Sharing with Credentials
除了*过于宽容并且会失败使用凭证。因此,请将http://localhost:3000或http://localhost:8000设置为允许原始标头。
答案 1 :(得分:14)
如果您正在使用CORS中间件并且想要发送withCredential布尔值为true,则可以像这样配置CORS:
var cors = require('cors');
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));
答案 2 :(得分:13)
如果您使用express,可以使用cors包来允许CORS,而不是编写中间件;
var express = require('express')
, cors = require('cors')
, app = express();
app.use(cors());
app.get(function(req,res){
res.send('hello');
});
答案 3 :(得分:7)
试一试:
const cors = require('cors')
const corsOptions = {
origin: 'http://localhost:4200',
credentials: true,
}
app.use(cors(corsOptions));
答案 4 :(得分:5)
通过扩展@Renaud的想法,cors现在提供了一种非常简单的方法:
从cors官方文档中发现here:
” origin:配置Access-Control-Allow-Origin CORS标头。 可能的值: 布尔值-按照req.header('Origin')的定义,将origin设置为true以反映请求的起源,或者将其设置为false以禁用CORS。 “
因此,我们只需执行以下操作:
const app = express();
const corsConfig = {
credentials: true,
origin: true,
};
app.use(cors(corsConfig));
最后,我认为值得一提的是,在某些用例中,我们希望允许任何人的跨源请求。例如,在构建公共REST API时。
注意: 我希望对他的回答发表评论,但不幸的是我没有声望点。
答案 5 :(得分:3)
出于开发目的,在Chrome中安装 this add on将消除该特定错误:
Access to XMLHttpRequest at 'http://192.168.1.42:8080/sockjs-node/info?t=1546163388687'
from origin 'http://localhost:8080' has been blocked by CORS policy: The value of the
'Access-Control-Allow-Origin' header in the response must not be the wildcard '*'
when the request's credentials mode is 'include'. The credentials mode of requests
initiated by the XMLHttpRequest is controlled by the withCredentials attribute.
安装后,请确保通过单击AddOn的( CORS ,绿色或红色)图标并填充适当的文本框,将网址格式添加到Intercepted URLs。可以在此处添加http://localhost:8080的URL模式示例为:*://*
答案 6 :(得分:0)
如果您想允许所有来源并保留真实的凭据,这对我有用:
app.use(cors({
origin: function(origin, callback){
return callback(null, true);
},
optionsSuccessStatus: 200,
credentials: true
}));
答案 7 :(得分:0)
这在开发中对我有用,但是我不能建议在生产中,这只是完成工作的另一种方式,虽然尚未提及,但可能不是最好的。无论如何,这里去了:
您可以从请求中获取来源,然后在响应标头中使用该来源。这是快递的样子:
app.use(function(req, res, next) {
res.header('Access-Control-Allow-Origin', req.header('origin') );
next();
});
我不知道您的python设置会是什么样子,但这应该很容易翻译。
答案 8 :(得分:0)
在执行请求之前,使用auth拦截器编辑标头会遇到角度问题。我们使用api令牌进行身份验证,因此我启用了凭据。现在,似乎不再需要/允许了
@Injectable()
export class AuthInterceptor implements HttpInterceptor {
intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
req = req.clone({
//withCredentials: true, //not needed anymore
setHeaders: {
'Content-Type' : 'application/json',
'API-TOKEN' : 'xxx'
},
});
return next.handle(req);
}
除此之外,目前没有副作用。
答案 9 :(得分:-1)
一种快速而简单的解决方法是通过在浏览器快捷方式属性中包含以下参数来禁用 CORS:
--disable-web-security --user-data-dir="[c:]"
示例:
祝你好运!
- 当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符
- AngularJS $ http:当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符
- CORS:当credentials标志为true时,无法在Access-Control-Allow-Origin中使用通配符
- Angular:当credentials标志为true时,不能在'Access-Control-Allow-Origin'标头中使用通配符'*'
- Ionic - 凭证标志为true时,不能在'Access-Control-Allow-Origin'标头中使用通配符'*'
- Access-Control-Allow-Origin:&#34; *&#34;凭证标志为true时不允许,但没有Access-Control-Allow-Credentials标头
- 启用通配符时阻止Access-Control-Allow-Origin
- 当凭证标志为真时,Android Webview“XMLHttpRequest无法加载<xmlurl> .wildcard'*'无法使用'Access-Control-Allow-Origin'标头”
- cors access-control-allow-origin *凭证为真
- 为什么当Access-Control-Allow-Credentials为true时Access-Control-Allow-Origin不能为'*'
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?