我正在阅读有关CORS请求的信息,我已经设法定期发送GET或POST请求,并且工作正常。但是当我向GET或POST请求添加授权标头时,预检OPTIONS请求被发送到服务器,我得到500 INTERNAL SERVER ERR,并且实际请求没有被发送。我的问题是预检实际上是如何运作的,它需要什么样的响应才能发出主要请求?是否可以在没有预检的情况下发送它,因为我确信它会起作用? serve-rside是用Django 1.6编写的,并且ACCESS-ALLOW-ORIGIN设置为*,它适用于常规的post和get请求。
这是我的JS代码:
$.ajax({
type: "GET",
url: "http://url/login/",
async:false,
contentType: "application/json",
headers: {
"Authorization": "Basic " + btoa(loginName + ':' + password),
},
success: function (data) {
alert("OK!");
},
failure: function(errMsg) {
alert(errMsg);
}
});
这些是执行请求时来自Chrome DevTools的标头: 请求标题:
OPTIONS /login/ HTTP/1.1
Host: url
Connection: keep-alive
Access-Control-Request-Method: GET
Origin: null
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Access-Control-Request-Headers: accept, authorization, content-type
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8,hr;q=0.6,sr;q=0.4
回复标题:
HTTP/1.1 500 INTERNAL SERVER ERROR
Date: Thu, 31 Jul 2014 16:15:19 GMT
Server: Apache/2.2.15 (CentOS)
X-Frame-Options: SAMEORIGIN
Access-Control-Allow-Origin: *
Connection: close
Transfer-Encoding: chunked
Content-Type: text/html; charset=UTF-8
答案 0 :(得分:15)
要传递授权标头,您必须将Access-Control-Allow-Credentials
设置为true。
问题在于,根据规范(MDN explains it simpler),如果Access-Control-Allow-Credentials
设置为true,则Access-Control-Allow-Origin
不能包含*
,因此允许任何主机发出请求凭证附件。
有两种方法可以解决这个问题:
Access-Control-Allow-Origin
设置为实际主持人发出请求Origin
标头是否在列表中,并将Origin
添加为{{ 1}}标题值。使用Django,检查Access-Control-Allow-Origin
并在中间件中添加一个标题,但这会产生一个不错的问题(可能已经被问过)