从子域向我的域发出请求时,我似乎遇到了CSRF保护问题。我已经设置了CORS,但预检检查失败了。
我已经在我的主脑中设置了
<meta name="csrf-token" content="{{ csrf_token() }}">
并附加到每个ajax请求:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
我的CORS设置:
return $next($request)
->header('Access-Control-Allow-Origin', $allowedUrl)
->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS')
->header('Access-Control-Allow-Headers', 'x-csrf-token');
请求失败:
无法加载https://example.com/account/login-ajax:对预检的响应 请求不通过访问控制检查:没有'Access-Control-Allow-Origin'标头 存在于请求的资源上。因此,“https://sub.example.com”来源 不允许访问。