8wDlpd.png
8wDFp9.png
8wDEOx.png
8wDMfH.png
8wDKte.png

CORS:当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符

3m1n3nc3 1月前

49 0

我有一个设置涉及前端服务器(Node.js,域:localhost:3000)<--->后端(Django,Ajax,域:localhost:8000)浏览器<-- webapp <-- Node.js(服务应用程序)浏览器(w...

我有一个涉及的设置

前端服务器(Node.js,域:localhost:3000)<---> 后端(Django,Ajax,域:localhost:8000)

浏览器 <-- webapp <-- Node.js (提供应用程序)

浏览器(webapp)——> Ajax——> Django(提供 ajax POST 请求)

现在,我的问题在于 CORS 设置,Web 应用程序使用它来向后端服务器进行 Ajax 调用。在 Chrome 中,我不断收到

当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符。

在 Firefox 上也不工作。

我的 Node.js 设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

在 Django 中,我将 这个中间件 与这个一起

Web 应用程序发出如下请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

因此,Web 应用程序发送的请求标头如下所示:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

以下是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里做错了?!

编辑 1:我一直在使用 chrome --disable-web-security ,但现在希望它能够真正发挥作用。

编辑2:答案:

因此,我的解决方案 django-cors-headers 配置如下:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)
帖子版权声明 1、本帖标题:CORS:当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符
    本站网址:http://xjnalaquan.com/
2、本网站的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
3、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
4、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
5、站长邮箱:yeweds@126.com 除非注明,本帖由3m1n3nc3在本站《http》版块原创发布, 转载请注明出处!
最新回复 (0)
  • 这非常不安全:它会让用户遭受跨域攻击。请参阅 portswigger.net/research/…

返回
作者最近主题: