8wDlpd.png
8wDFp9.png
8wDEOx.png
8wDMfH.png
8wDKte.png

CORS:当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符

Karthik Srinivasan 2月前

131 0

我有一个设置涉及前端服务器(Node.js,域:localhost:3000)<--->后端(Django,Ajax,域:localhost:8000)浏览器<-- webapp <-- Node.js(服务应用程序)浏览器(w...

我有一个涉及的设置

前端服务器(Node.js,域:localhost:3000)<---> 后端(Django,Ajax,域:localhost:8000)

浏览器 <-- webapp <-- Node.js (提供应用程序)

浏览器(webapp)——> Ajax——> Django(提供 ajax POST 请求)

现在,我的问题在于 CORS 设置,Web 应用程序使用它来向后端服务器进行 Ajax 调用。在 Chrome 中,我不断收到

当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符。

在 Firefox 上也不工作。

我的 Node.js 设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

在 Django 中,我将 这个中间件 与这个一起

Web 应用程序发出如下请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

因此,Web 应用程序发送的请求标头如下所示:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

以下是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里做错了?!

编辑 1:我一直在使用 chrome --disable-web-security ,但现在希望它能够真正发挥作用。

编辑2:答案:

因此,我的解决方案 django-cors-headers 配置如下:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)
帖子版权声明 1、本帖标题:CORS:当凭证标志为真时,不能在 Access-Control-Allow-Origin 中使用通配符
    本站网址:http://xjnalaquan.com/
2、本网站的资源部分来源于网络,如有侵权,请联系站长进行删除处理。
3、会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。
4、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
5、站长邮箱:yeweds@126.com 除非注明,本帖由Karthik Srinivasan在本站《express》版块原创发布, 转载请注明出处!
最新回复 (0)
  • 对我来说它是没有 http 的 localhost:3000,如下所示: CORS_ORIGIN_WHITELIST = ('localhost:3000', )

  • @ixaxaar 为什么你说 http 对你有用?我们都只使用 ` 'localhost:3000'`。

  • 这是安全的一部分,你不能这样做。如果你想允许凭证,那么你 Access-Control-Allow-Origin 不能使用 * 。你必须指定确切的协议+域+端口。作为参考,请参阅以下问题:

    1. Access-Control-Allow-Origin 通配符子域、端口和协议
    2. 使用凭证进行跨源资源共享

    此外, * 它过于宽容,会破坏凭证的使用。因此,请将 http://localhost:3000 http://localhost:8000 为允许来源标头。

  • @aroth 您可以给出域名列表。相关问题:.com/questions/1653308/…

  • NSR 2月前 0 只看Ta
    引用 6

    @user568109 您能解释一下“此外 * 太过宽松并且会破坏凭证的使用吗?”吗?

  • Cove 2月前 0 只看Ta
    引用 7

    @Christian 有点老了,但如果有人仍然好奇,这个问题只会发生在浏览器上运行的应用程序中,因为出于安全原因,浏览器会抛出此错误。其他客户端(例如移动应用程序、邮递员或任何其他使用 http 客户端发出请求的后端代码)不会出现此问题,因此您不必担心来源和确切的域。

  • 如果你正在使用 CORS 中间件并且想要发送 withCredential 布尔值 true,则可以像这样配置 CORS:

    var cors = require('cors');    
    app.use(cors({credentials: true, origin: 'http://localhost:3000'}));
    
  • 扩展@Renaud 的想法,cors 现在提供了一种非常简单的方法来做到这一点:

    此处 找到的 cors 官方文档 :

    \' origin:配置 Access-Control-Allow-Origin CORS 标头。可能的值:布尔值 - 将 origin 设置为 true 以反映请求来源,如 req.header('Origin') 所定义,或将其设置为 false 以禁用 CORS。 \'

    因此我们只需执行以下操作:

    const app = express();
    const corsConfig = {
        credentials: true,
        origin: true,
    };
    app.use(cors(corsConfig));
    

    最后,我认为值得一提的是,在某些用例中我们希望允许任何人的跨源请求;例如,在构建公共 REST API 时。

  • 我喜欢这个答案!尤其是关于这样的事实:有些用例需要允许所有来源(这里的许多答案似乎都认为这始终是一种不好的做法)。

  • 尝试一下:

    const cors = require('cors')
    
    const corsOptions = {
        origin: 'http://localhost:4200',
        credentials: true,
    
    }
    app.use(cors(corsOptions));
    
  • 引用 12

    如果您正在使用, express 您可以使用 cors 包来允许 CORS,而不是编写中间件;

    var express = require('express')
    , cors = require('cors')
    , app = express();
    
    app.use(cors());
    
    app.get(function(req,res){ 
      res.send('hello');
    });
    
  • 啊,现在方便多了,但是结果是一样的 :( 顺便说一句,我使用的是 app.use(cors({credentials: true}));

  • 所以你有两个 Django 中间件?我只会使用 django-cors-header 应用程序。确保将 localhost 添加到 CORS_ORIGIN_WHITELIST 设置并将 CORS_ALLOW_CREDENTIALS 设置为 True

  • 引用 15

    是的,之前尝试过但没有成功,CORS_ORIGIN_ALLOW_ALL = True、CORS_ORIGIN_WHITELIST = ('localhost') 和 CORS_ALLOW_CREDENTIALS = True 我得到了这些标题:Access-Control-Allow-Credentials:true Access-Control-Allow-Origin:http://localhost:3000/ Access-Control-Allow-Methods:POST、GET、OPTIONS、PUT、DELETE Con​​tent-Type:application / json

  • 引用 16

    阅读此文档后:github.com/expressjs/corsuse 我使用这个配置:app.use(cors({credentials: true, origin: 'localhost:3001'})); 对我有用。

  • 如果您想允许所有来源并保持凭证真实,那么这对我有用:

    app.use(cors({
      origin: function(origin, callback){
        return callback(null, true);
      },
      optionsSuccessStatus: 200,
      credentials: true
    }));
    
  • @TSlegaitis 哈哈,是的,这就是为什么它适用于所有来源但保留凭证的原因。出于安全考虑,我不推荐这样做,但它确实有效。

  • 这对我来说很有效,同时保持凭证真实,在我的情况下,来源为空,所以除此之外没有其他任何工作。

  • 引用 20

    这非常不安全:它会让用户遭受跨域攻击。请参阅 portswigger.net/research/…

返回
作者最近主题: