Mailgun API:请求标头字段Access-Control-Allow-Headers不允许授权

时间:2018-04-28 12:42:46

标签: javascript .htaccess cors mailgun

如何在AngularJS应用程序上设置.htaccess以防止出现以下错误消息:

  

无法加载https://api.mailgun.net/v3/example.com/messages:   请求标头字段不允许授权   预检响应中的Access-Control-Allow-Headers。

这是我的.htaccess文件:

<IfModule mod_headers.c>
Header add Access-Control-Allow-Origin "*"
Header add Access-Control-Allow-Headers "Content-Type, Authorization"
Header add Access-Control-Allow-Methods "GET, POST"
RewriteEngine On
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_URI} -f [OR]
RewriteCond %{DOCUMENT_ROOT}%{REQUEST_URI} -d
RewriteRule ^ - [L]
RewriteRule ^ index.html
</IfModule>

每当用户尝试提交联系表单时,我都会在我的网站here上收到错误消息。

这是我的流程代码:

function send(apiUrl, from, to, subject, body, apiKey) {
  var url = apiUrl;
  var dataJSON = {
    from: from,
    to: to,
    subject: subject,
    text: body,
    multipart: true
  };

  var req = {
    method: 'POST',
    url: url,
    headers: {
      'content-type': 'application/x-www-form-urlencoded',
      'Authorization': 'Basic ' + $base64.encode('api:'+apiKey)
    },
    transformRequest: function (obj) {
      var str = [];
      for (var p in obj) {
        str.push(encodeURIComponent(p) + '=' + encodeURIComponent(obj[p]));
      }
      return str.join('&');
    },
    data: dataJSON
  };

  $http(req).then(function (data) {
    if(data.data) {
      if(data.data.message === 'Queued. Thank you.') {
        $window.alert('Sent. Thank you.');
      }
      else {
        $window.alert(data.data.message);
      }
    }
    else {
      $window.alert('An error has occured. Please try again.');
    }
  }, function (data) {
    if(data.data) {
      if(data.data.message === 'Queued. Thank you.') {
        $window.alert('Sent. Thank you.');
      }
      else {
        $window.alert(data.data.message);
      }        }
    else {
      $window.alert('An error has occured. Please try again.');
    }
  });
}

1 个答案:

答案 0 :(得分:8)

您无法从浏览器中运行的前端JavaScript代码向Mailgun API发出经过身份验证的请求。 Mailgun API故意不支持per their own documentation

  

注意:如果在浏览器中使用,则由于cors限制,需要使用代理与Mailgun api进行通信。另外,不要在前端代码中发布私有api密钥。

具体而言,对于在浏览器中运行的前端JavaScript代码的请求,Mailgun API不允许Authorization请求标头。您可以使用curl或其他方式验证:

$ curl -X OPTIONS -H "Origin: https://marquesslondon.com" \
       -i https://api.mailgun.net/v3/marquesslondon.com/messages

HTTP/1.1 200 OK
Access-Control-Allow-Headers: Content-Type, x-requested-with
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS
Access-Control-Allow-Origin: *
Access-Control-Max-Age: 600
Allow: POST, OPTIONS

请注意,端点返回的Access-Control-Allow-Headers响应标头的值不包括Authorization。这意味着浏览器会阻止您的前端JavaScript代码向包含Authorization请求标头的任何请求发送该API端点。

对于.htaccess网站http://marquesslondon.com文件的更改,这些内容不必要且不相关;你从那个(你的)网站返回的CORS标题并不重要,因为它只是发起请求的网站 - 你没有发送任何请求它的跨域。

相反重要的是您实际发送跨域请求的网站返回的CORS标头,https://api.mailgun.net。如上所述,该站点返回一个CORS Access-Control-Allow-Headers响应标头,告诉浏览器不允许包含Authorization标头的请求 - 这就是导致您看到请求标头字段的原因授权是不允许在问题中引用错误消息。

相关问题
最新问题