CORS Access-Control-Allow-Origin尽管标题正确

时间:2012-03-08 05:12:54

标签: javascript http-headers cross-domain xss cors

我正在尝试使用客户端上的jQuery(1.7.1)驱动的ajax和apache服务的python(django)服务器建立简单的跨源资源共享。根据我读过的所有说明我的标题设置正确,但我不断收到以下错误:

  

XMLHttpRequest无法加载http://myexternaldomain.com/get_data。   来源http://localhost:8080不被允许   访问控制允许来源。

正在尝试的标题(我不确定它是否已经通过浏览器)发送是:

Request URL:http://myexternaldomain.com/get_data
Accept:application/json, text/javascript, */*; q=0.01
Origin:http://localhost:8080
Referer:http://localhost:8080/static/js/test-zetta.html
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.66 Safari/535.11

javascript代码

    var request = $.ajax({
        url : "http://myexternaldomain.com/get_data",
        type : "POST",
        dataType : "json",
        crossDomain : true
    });

请注意origin已正确设置。服务器使用以下python代码添加标头Access-Control-Allow-Origin = * 

def process_response(self, response):
    if response.has_header('Access-Control-Allow-Origin'):
            return response

    response['Access-Control-Allow-Origin'] = '*'
    return response

def get_orders(request):
    """ Tell worker what to do """
    response_data = {}
    response_data['action'] = 'probe'
    response = process_response(HttpResponse(json.dumps(response_data), mimetype="application/json"))
    return response

如果我直接访问该地址,则似乎确认标题已正确设置

Access-Control-Allow-Origin:*
Content-Type:application/json
Date:Thu, 08 Mar 2012 05:06:25 GMT
Server:Apache/2.2.20 (Ubuntu)
Transfer-Encoding:chunked

但是在跨域设置中它总是失败(尝试使用chrome和firefox)。我已经尝试完全根据this问题的选定答案实现代码,但得到相同的错误

更新

我很确定问题是服务器端,因为我设法让我的ajax调用使用不同的公共CORS服务器。当我比较从这个公共服务器返回的标头和从我的公共服务器返回的标头时(当我从同一个域测试时),我看不出任何可以解释差异的重大差异(见下文)。

我排除的一个微妙之处,可能或可能重要的是,实际域是多个子域的亚马逊域。 真实地址http://ec2-23-20-27-108.compute-1.amazonaws.com/get_orders,请随意调查,看看我做错了什么。

来自公共服务器 

Access-Control-Allow-Origin:*
Connection:Keep-Alive
Content-Encoding:gzip
Content-Length:622
Content-Type:text/html
Date:Thu, 08 Mar 2012 15:33:20 GMT
Keep-Alive:timeout=15, max=99
Server:Apache/2.2.14 (Ubuntu)
Vary:Accept-Encoding
X-Powered-By:Perl/5.8.7, PHP/4.4.0

从我的服务器 - (不在跨域工作) 

Access-Control-Allow-Origin:*
Content-Encoding:gzip
Content-Type:text/plain
Date:Thu, 08 Mar 2012 15:32:24 GMT
Server:Apache/2.2.20 (Ubuntu)
Transfer-Encoding:chunked
Vary:Accept-Encoding

3 个答案:

答案 0 :(得分:5)

您必须实施“预先发布”的请求和响应,因为您的情况会被视为“not so simple”请求。仅需要Origin标头的基本CORS只能具有“application / x-www-form-urlencoded”,“multipart / form-data”和“text / plain”的内容类型。由于您返回“application / json”,因此不符合此要求。

我对Django一无所知,但我发现通过使用Tomcat filter在我的应用程序之外实现CORS支持更容易。看起来你可以用Django do the same thing

2013-08-11:看起来GitHub回购不再与我们合作了。但是Django包看起来仍然可以在https://pypi.python.org/pypi/django-cors/0.1

获得

答案 1 :(得分:5)

所以我因为转到URL的响应而被误导,实际上问题是当执行ajax请求时,由于csrf保护,我得到403(仅在firefox而不是chrome中显示)错误。 / p>

答案 2 :(得分:2)

我正在使用优秀的django-cors-headers库并遇到了这个问题。对我来说,解决方案是添加' accept-encoding'到默认的CORS_ALLOW_HEADERS元组。

相关问题
最新问题