Question

我编写了一个返回JSON响应的WCF服务。然后我创建了一个带有一些JavaScript代码的html页面来测试该函数。当我将服务发布到登台环境（使用SSL来模拟生产环境）时，我不得不更新我的服务的web.config文件以通过HTTPS工作。当我直接浏览.svc端点（服务页面同时显示http和https）以及我在浏览器中调用服务时（我被提示下载JSON响应）但是当我将测试页面更改为指向https版本，我收到“拒绝访问”错误。

以下是配置文件的servicemodel部分的代码：

<system.serviceModel>


    <services>

      <service name="Services.PromotionCodeGeneration" behaviorConfiguration="md">
        <endpoint address="" binding="webHttpBinding" contract="Services.IPromotionCodeGeneration" behaviorConfiguration="webHttp" bindingConfiguration="webBindingSecure"/>
        <endpoint address="" binding="webHttpBinding" contract="Services.IPromotionCodeGeneration" behaviorConfiguration="webHttp"  bindingConfiguration="webBinding"/>
        <endpoint contract="IMetadataExchange" binding="mexHttpBinding" address="mex" />

      </service>

    </services>

    <behaviors>
      <serviceBehaviors>
        <behavior name="md">
          <serviceMetadata httpsGetEnabled="true" />
        </behavior>
      </serviceBehaviors>
      <endpointBehaviors>
        <behavior name="webHttp">
          <webHttp />
        </behavior>
      </endpointBehaviors>
    </behaviors>



    <bindings>

      <webHttpBinding>

        <binding name="webBindingSecure">

          <security mode="Transport"/>

        </binding>

        <binding name="webBinding">

          <security mode="None"></security>

        </binding>

     </webHttpBinding>



    </bindings>

  </system.serviceModel>

以下是我的测试页面中的代码：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head>
    <title></title>
<script>
    function api_test() {

        var url = "https://test.mydomain.com/Services/PromotionCodeGeneration.svc/contest/useremail@mydomain.com";

        var client = new XMLHttpRequest();
        client.open("GET", url, false);
        client.setRequestHeader("Authentication-Key", "LK589-JIJO-SHG9-0987-65TG-HJKU-Y$GH");
        client.send();
        var responseText = client.responseText;

        var result = JSON.parse(responseText); 


        document.writeln("Id: " + result.Id + "<br/>");
        document.writeln("Code: " + result.Code + "<br/>");
        var expiryDate = "";
        if (result.Expires != null){expiryDate = result.Expires;} 
        document.writeln("Expires: " + expiryDate + "<br/>");
        document.writeln("Status: " + result.Status + "<br/>");
    }
</script>
</head>
<body onload="api_test();">

</body>
</html>

我一直在研究这个问题2天。我发现很多人说你不能跨域使用'XMLHttpRequest'方法，但它可以找到我的基本http，所以我觉得很难相信。我也尝试了许多不同的servicemodel配置建议，但是没有一个适用于https通信。有没有人在我的配置或调用页面中看到任何导致通过https导致“拒绝访问”响应的内容？

任何帮助都将不胜感激。

Answer 1

HTML页面和服务是否符合Same Origin Policy？

域名必须相同，包括子域名（例如，您无法在test2.example的页面中加载test1.example.com上托管的文件.COM）。
协议（例如http或https）必须相同。
端口必须相同（例如，您无法从example.com上的页面加载example.com:8080中的文件）。
< / LI>

所有AJAX请求都需要符合此政策 - 否则，正如@Mike Miller建议的那样，您可能需要查看JSONP。

通过HTTPS从Javascript调用WCF服务会导致拒绝访问

1 个答案: