首先,服务器(不是我的)返回以下标题:
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
我正在尝试了解如何使用身份验证令牌向网站传递请求。我正在本地apache服务器上运行代码。
这是我的代码:
function get_data(){
var url = '$URL';
var x = new XMLHttpRequest();
x.open("GET", url, true)
if (x.readyState == 4 && x.status == 200) {
var responseText = x.responseText;
console.log(responseText)
};
x.setRequestHeader("Authentication", "Bearer $TOKEN");
x.withCredentials = true
x.send()
}
控制台返回:
XMLHttpRequest无法加载$ URL。对预检请求的响应没有 传递访问控制检查:没有'Access-Control-Allow-Origin'标头 出现在请求的资源上。来源'http://localhost'是 因此不允许访问。响应的HTTP状态代码为403。
在阅读文档时,我看到不允许手动设置标题。当我删除x.setRequestHeader("Authentication", "Bearer $TOKEN");时,我确实从服务器得到了答案(显然是一个身份验证错误。)那么,如何将此信息添加到我的请求中呢?
服务器返回的标头:
Request URL:$serverurl
Request Method:OPTIONS
Status Code:403 Forbidden
Remote Address:$ipaddress
Response Headers
view source
Cache-Control:no-cache
Connection:close
Content-Type:text/html
Request Headers
view source
Accept:"*/*"
Accept-Encoding:gzip, deflate, sdch
Accept-Language:nl-NL,nl;q=0.8,en-US;q=0.6,en;q=0.4
Access-Control-Request-Headers:authentication
Access-Control-Request-Method:GET
Connection:keep-alive
Host:$host
Origin:http://localhost
Referer:http://localhost/mv.html
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36
答案 0 :(得分:-1)
在您的实际GET请求之前,浏览器会发送一个OPTION请求,以检查它有哪些“选项”用于请求(允许的方法,来源等)。
在网络选项卡中查看浏览器发送的选项请求(预检)。该请求必须具有适当的响应头,例如
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: true
Access-Control-Allow-Methods: POST, GET, OPTIONS
见这里:https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS#Access-Control-Allow-Methods
由于服务器为选项请求发送403状态标头,这意味着服务器不会处理选项请求权限,或者只是为主机设置403作为安全措施。除非改变,否则你无法通过XHR访问该API。