Почему мой JavaScript получает сообщение об ошибке «Отсутствует заголовок« Access-Control-Allow-Origin »на запрошенном ресурсе», а Postman - нет?

Question

Почему мой JavaScript получает сообщение об ошибке «Отсутствует заголовок« Access-Control-Allow-Origin »на запрошенном ресурсе», а Postman - нет?

2045

Я пытаюсь сделать авторизацию с помощью JavaScript, подключившись к RESTful API встроен в Flask. Однако, когда я делаю запрос, я получаю следующую ошибку:

XMLHttpRequest не может загрузить http://myApiUrl/login. В запрошенном ресурсе нет заголовка "Access-Control-Allow-Origin". Поэтому исходный "null" не допускается.

Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я сделал запрос через расширение Chrome Postman?

Это код запроса:

$.ajax({
    type: "POST",
    dataType: 'text',
    url: api,
    username: 'user',
    password: 'pass',
    crossDomain : true,
    xhrFields: {
        withCredentials: true
    }
})
    .done(function( data ) {
        console.log("done");
    })
    .fail( function(xhr, textStatus, errorThrown) {
        alert(xhr.responseText);
        alert(textStatus);
    });

Mr Jedi 17 нояб. 2013, в 20:08

Источник

24

Вы делаете запрос от localhost или прямо выполняете HTML?
MD. Sahib Bin Mahboob 17 нояб. 2013, в 19:31
0

@ MD.SahibBinMahboob Если я понимаю ваш вопрос, я запрашиваю у localhost - у меня есть страница на моем компьютере, и я просто запускаю ее. Когда я размещаю сайт на хостинге, он дает тот же результат.
Mr Jedi 17 нояб. 2013, в 19:43
0

домен вашей исполняемой страницы и запрашиваемое имя домена одинаковые или разные?
MD. Sahib Bin Mahboob 17 нояб. 2013, в 19:47
5

много связанных: stackoverflow.com/questions/10143093/…
cregox 07 июль 2014, в 16:39
7

Для тех, кто хочет больше читать, в MDN есть хорошая статья, посвященная ajax и запросам разных источников: developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
Sam Eaton 18 июнь 2015, в 15:22
0

header("Access-Control-Allow-Origin: *"); попытки header("Access-Control-Allow-Origin: *"); в источнике.
zx1986 28 дек. 2015, в 03:29
0

Вы можете сослаться на это, если вы используете .Net. stackoverflow.com/questions/19174435/...
sms 25 май 2016, в 10:17
0

Его работа для меня stackoverflow.com/questions/10143093/…
Abhijit Jagtap 16 авг. 2016, в 17:55
0

Одно важное замечание для этого типа ошибки в узле js. Вы ДОЛЖНЫ установить заголовки доступа при запуске файла server.js ПЕРЕД началом настройки маршрутов. В противном случае все будет работать отлично, но вы получите эту ошибку, когда будете делать запросы из своего приложения.
Alex J 09 май 2017, в 02:05
0

@ Cregox, спасибо. Что за математика там с миллионами голосов! ??? Когда вы можете просто добавить этот заголовок на серверные PHP-файлы.
CodeToLife 15 март 2018, в 20:51
0

попробовал dataType: 'jsonp',
dev_ramiz_1707 18 янв. 2019, в 10:35

Показать ещё 9 комментариев

Теги:

javascript

jquery

cors

restful-authentication

same-origin-policy

flask-restless

40 ответов

478

Это не исправление для производства или когда приложение должно быть показано клиенту, это полезно только тогда, когда пользовательский интерфейс и бэкэнд разработка находятся на разных серверах и в они фактически находятся на одном сервере. Например: при разработке пользовательского интерфейса для любого приложения, если есть необходимость протестировать его локально, указывая на сервер бэкэнд, в этом случае это идеальное решение. Для производственного исправления заголовки CORS должны быть добавлены на серверный сервер, чтобы разрешить доступ к перекрестному контенту.

Самый простой способ - просто добавить расширение в google chrome, чтобы разрешить доступ с помощью CORS.

(https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi?hl=en-US)

Просто включите это расширение, если вы хотите разрешить доступ к запросу заголовка 'access-control-allow-origin'.

Или

В Windows вставьте эту команду в окно выполнить

chrome.exe --user-data-dir="C:/Chrome dev session" --disable-web-security

это откроет новый браузер chrome, который разрешит доступ к запросу заголовка "access-control-allow-origin-origin" .

shruti 04 март 2015, в 06:51

0

Я пытаюсь использовать этот инструмент CORS, но я не знаю, как его использовать. Вы можете помочь мне с этим?
Ruby_Pry 14 май 2015, в 18:09
0

@Ruby_Pry просто добавьте расширение из приведенного выше URL-адреса, и затем вы увидите значок приложения CORS в верхней левой части браузера Chrome, нажмите на него, вы увидите всплывающее окно, где вы можете включить его всякий раз, когда вы хотите разрешить доступ через CORS.
shruti 15 май 2015, в 09:52
137

Это замечательно, но клиентов нельзя попросить запустить Chrome таким образом, чтобы обеспечить выполнение внутреннего требования для вызова веб-службы.
Taersious 24 сен. 2015, в 17:55
0

@ Taersious да, вы правы, для этого нам нужно установить заголовки CORS на стороне сервера.
shruti 25 сен. 2015, в 15:47
78

это не следует воспринимать как ответ, устанавливая сторонний плагин для исправления вашего приложения, вместо того, чтобы понимать CORS и исправлять ваше приложение, как другие люди будут использовать ваш API? Вы заставите их всех установить этот плагин?
James Kirkby 28 апр. 2016, в 11:10
4

Я установил это расширение и сделал запрос, после чего проверил запрос в fiddler, было указано следующее -> Origin: evil.com . Похоже, это расширение меняет Происхождение на evil.com
wagwanJahMan 10 май 2016, в 12:54
1

Это расширение работает как шарм. Но на самом деле, что они делают внутри? Есть ли способ сделать то же самое в Javascript или Jquery, а не с помощью плагина?
sms 11 май 2016, в 11:07
0

@sms, почему я хочу делать в javascript, каков точный вариант использования?
shruti 11 май 2016, в 12:12
0

@shruti Поскольку я собираюсь передать приложение конечному пользователю, мне нужно предоставить отдельные плагины для каждого браузера. Также невозможно добавить заголовок на моем целевом сервере. Если нужно внести какие-либо изменения, это должно быть сделано в моем клиентском приложении, из которого сделан вызов ajax.
sms 11 май 2016, в 12:25
0

@SMS Я думаю, вы можете использовать JSONP, я не уверен. Посмотрите на эту ссылку dev.socrata.com/docs/cors-and-jsonp.html может быть, это помогает.
shruti 24 июнь 2016, в 05:28
1

работал хорошо для меня. я использую это с Cordova в отладке через "браузерную" платформу через cordova run browser
watsonic 10 янв. 2017, в 06:20
1

Я обнаружил, что расширение не заполняет счет. Похоже, что Chrome не нравится тот факт, что Access-Control-Allow-Origin: * при использовании withCredentials: <blah blah> был заблокирован политикой CORS: значение заголовка «Access-Control-Allow-Origin» в ответ не должен быть подстановочным знаком «*», если режим учетных данных запроса «включить». Происхождение 'null', следовательно, не разрешено. Режим учетных данных запросов, инициируемых XMLHttpRequest, контролируется атрибутом withCredentials
frooble 13 март 2017, в 19:43
14

Я думаю, что это действительно хороший ответ, если вам не нужно постоянное исправление или если вам нужно только временно отключить CORS. Это то, что мне было нужно, и это решение отлично работало. Очевидно, что это никогда нельзя считать постоянным решением.
jtcotton63 24 март 2017, в 00:44
1

Вы рекомендуете людям отключить все средства безопасности в своем браузере только для запуска кода ваших приложений? Нет нет нет нет нет нет !!!
Cerin 20 июнь 2017, в 03:21
1

Я не могу поверить, что этот ответ получил какие-либо откровения или доверие. Вместо того, чтобы решить проблему, вы просто отключите поврежденную безопасность просмотра. Глупое решение.
Andy Fusniak 08 авг. 2017, в 10:34
2

Этот ответ в порядке. Что касается работы с девайсом, это заставило меня быстро заработать, и я вернусь и найду подходящее решение позже ...
Adam Hughes 19 окт. 2017, в 19:48
1

Это здорово, это помогло мне протестировать мой код на локальной машине, где, как на сервере, так и на стороне сервера, код находится в одном домене, так что эта проблема в любом случае не возникнет
TechnoCrat 16 нояб. 2017, в 09:38
0

Отлично, "chrome.exe --user-data-dir =" C: / Chrome dev session "--disable-web-security" пока работает.
Codiee 20 дек. 2017, в 14:02
0

Вы можете быть более безопасными и определить больше настроек (определяя, какой веб-сервер / локальный сервер может делать запросы CO, Access-Control-Allow-Headers и Access-Control-Allow-Methods ) через плагин Moesif Chrome . Шрути, если ты сможешь включить это в свой ответ, я верю, что это поможет еще большему количеству людей.
CPHPython 16 фев. 2018, в 18:20

Показать ещё 17 комментариев

306

Если вы вернетесь в JSON, попробуйте использовать JSONP (обратите внимание на P в конце) для разговора между доменами:

$.ajax({
  type: "POST",
  dataType: 'jsonp',
  ...... etc ......

Подробнее о работе с JSONP здесь:

Появление JSONP - по существу согласованного межсайтового скриптинга - открыло дверь для мощных mashups контента. Многие известные сайты предоставляют услуги JSONP, позволяя вам получать доступ к их контенту через предопределенный API.

Gavin 22 фев. 2014, в 01:42

2

С NodeJs с типом данных json работал, с ASP.Net это было виновником
Gaizka Allende 15 май 2014, в 09:36
84

Имейте в виду, что jsonp не работает с содержимым POST. Больше обсуждений здесь .
Prabu Raja 13 нояб. 2014, в 00:28
62

Откуда у этого столько голосов, когда вы не можете использовать jsonp с запросами POST?!?!
fatlog 07 авг. 2015, в 15:06
8

Когда вы используете JSONP , $ .ajax будет игнорировать type , поэтому это всегда GET что означает, что этот ответ всегда будет работать.
noob 06 окт. 2016, в 03:56
2

@fatlog, потому что большинство людей получают к нему доступ с помощью GET
Csaba Toth 06 нояб. 2016, в 03:35
0

Проще использовать jsonp, чем перенастроить другой хост-сервер. Это экономит время.
Csaba Toth 06 нояб. 2016, в 03:41
0

Это работает, чтобы получить ответ от google.com/complete/search?client=firefox&q=query
m.qayyum 17 апр. 2017, в 10:47
8

Также обратите внимание, что JSONP не является взаимозаменяемым напрямую с JSON. Вам также нужен сервер для возврата данных в формате JSONP. Простое изменение dataType в настройках запроса AJAX само по себе не сработает.
Rory McCrossan 07 сен. 2017, в 10:19
1

В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Quentin 13 сен. 2017, в 08:40

Показать ещё 7 комментариев

190

Это очень просто решить, если вы используете PHP. Просто добавьте следующий скрипт в начале вашей страницы PHP, которая обрабатывает запрос:

<?php header('Access-Control-Allow-Origin: *'); ?>

Предупреждение. Это содержит проблему безопасности для вашего PHP файла, которую он может вызвать злоумышленники. вы должны использовать сеансы и файлы cookie для проверки подлинности, чтобы предотвратить ваш файл/службу от этой атаки. Ваш сервис уязвим для подделки подделок (CSRF).

Если вы используете Node-red, вы должны разрешить CORS в файле node-red/settings.js, не комментируя следующие строки:

// The following property can be used to configure cross-origin resource sharing
// in the HTTP nodes.
// See https://github.com/troygoode/node-cors#configuration-options for
// details on its contents. The following is a basic permissive set of options:
httpNodeCors: {
 origin: "*",
 methods: "GET,PUT,POST,DELETE"
},

shady sherif 03 дек. 2014, в 21:15

314

Вопрос был совсем не о PHP.
mknaf 10 дек. 2014, в 14:32
83

и это не безопасно
llazzaro 20 дек. 2014, в 19:25
0

Да, я знаю, что речь идет о Js, но я решил это с помощью PHP очень легко! О проблеме безопасности, если JS в настоящее время находится в другом домене, вы можете пройти через JS, чтобы разрешить его перекрестное происхождение, почему вы не обнаружили, что это не безопасно?
shady sherif 28 дек. 2014, в 07:24
113

Вы не должны выключать CORS, потому что не знаете, для чего это нужно. Это ужасный ответ.
meagar♦ 30 дек. 2014, в 06:12
105

Хотя это может быть небезопасно, вопрос был не в безопасности, а в том, как выполнить задачу. Это одна из опций, которую разработчик должен выбрать при работе с междоменными запросами AJAX. Это помогло мне решить проблему, и для моего приложения мне все равно, откуда пришли данные. Я очищаю все входные данные с помощью PHP в целевом домене, поэтому, если кто-то захочет опубликовать в нем ненужную информацию, пусть попробуют. Суть в том, что междоменный AJAX может быть разрешен из конечного домена. +1 за ответ.
ZurabWeb 26 фев. 2015, в 16:37
1

У меня была та же проблема на том же домене, что и на полном сайте, использующем https, но только одна страница использует метод http, и любой запрос со страницы http приводит к той же ошибке. Я хотел решить эту проблему только с помощью JS, так как добавление такого заголовка не было моим первым выбором. Я пробовал все вышеупомянутые решения, такие как размещение crossDomain: true, withCredentials: true, а также следовал CORS, но ни одно решение не сработало. Затем, наконец, я добавил заголовок ('Access-Control-Allow-Origin: *');
SD. 02 март 2015, в 06:59
0

Я хотел бы добавить здесь одну вещь. Если вы используете заголовок ('Access-Control-Allow-Origin: *'); вам нужно удалить withCredentials: true из запроса ajax.
SD. 02 март 2015, в 07:00
0

ужасно и ненадежно
fbtb 03 март 2015, в 10:20
18

Хотя я согласен с общим посланием, которое дает Пьеро, речь идет не о безопасности, а о безопасности. Я думаю, что это должно было, по крайней мере, сказать что-то вроде: «Как правило, это плохо! Не делайте этого, если вы не знаете, что делаете! Вот еще документация по этому вопросу: ...», и, возможно, кратко объясните почему. Я бы не хотел, чтобы кто-то приходил сюда и думал: «О, я могу просто добавить / настроить этот заголовок, и я в порядке!» и не знаю всех последствий. Я имею в виду, это как бы их исследовать и все, но все же.
Thomas F. 15 окт. 2015, в 14:55
0

@shadysherif как то же самое, используя JavaScript, любая идея ??
Divyesh Kanzariya 28 апр. 2016, в 05:48
0

@DivyeshKanzariya вы можете использовать Cors html5rocks.com/en/tutorials/cors
shady sherif 09 май 2016, в 03:47
1

@shadysherif Это сработало, его можно использовать для обработки данных без транзакций.
Pradeep Srivastava 09 фев. 2017, в 06:30
1

При локальной разработке никто не заботится о безопасности, CORS только мешает. Возможно, ваш сервер node.js работает на другом порту / сервере, чем тот, с которого вы запрашиваете данные. Но в производстве все они могут работать на одном сервере, и в этом случае CORS не вызывает проблем.
Epirocks 27 фев. 2017, в 17:38
3

Мне нравится этот ответ ... У меня та же проблема, и она решает ее ... Он объяснил, что есть некоторые проблемы с безопасностью, но это еще одна проблема, и пусть каждый человек думает и решает эту проблему ...
Ari Waisberg 17 март 2017, в 19:38

Показать ещё 12 комментариев

156

Я хочу, чтобы кто-то поделился этим сайтом со мной давно http://cors.io/, он бы сэкономил массу времени по сравнению со строительством и полагался на мой собственный прокси. Однако, когда вы переходите к производству, ваш собственный прокси-сервер является лучшим выбором, поскольку вы все еще контролируете все аспекты своих данных.

Все, что вам нужно:

https://cors.io/?http://HTTP_YOUR_LINK_HERE

yoshyosh 22 июль 2015, в 00:02

28

Каковы недостатки этого? Эти парни перехватывают мои данные?
Sebastialonso 21 авг. 2015, в 16:33
1

..Это приложение временно превысило свою квоту. Пожалуйста, попробуйте позже.
Li3ro 01 сен. 2015, в 06:32
6

cors.io/?u=HTTP_YOUR_LINK_HERE (небольшая поправка)
jkpd 17 сен. 2015, в 13:05
150

Я не думаю, что отправка ваших данных через сторонний прокси является хорошей идеей
Daniel Alexandrov 16 окт. 2015, в 14:07
0

Я думаю, только получать запросы
Anirudha 10 дек. 2015, в 06:47
9

Один недостаток - они иногда перегружены, как сейчас. This application is temporarily over its serving quota. Please try again later.
evelynhathaway 20 фев. 2016, в 07:52
17

попробуйте тоже https://crossorigin.me/http://example.com
KingRider 15 апр. 2016, в 15:05
2

Золотой для тестирования! Долго пытались загрузить некоторые тестовые данные с foo.bar. Как бы то ни было, это решение этой проблемы.
Automatico 18 апр. 2016, в 12:52
1

Как внедрить наш собственный сервис для того, что делает этот сайт?
Ulysses Alves 17 июнь 2016, в 18:18
0

@UlyssesAlves, это просто. Просто внедрите сервисную службу, которая получает URL в качестве параметра, затем загрузите содержимое этого URL и вернитесь к клиенту.
nsantana 12 авг. 2016, в 04:29
3

Плохое: The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. , Уродливый Apache/2.4.7 (Ubuntu) Server at cors.io Port 80 (Apache для этого? LOL)
Nino Škopac 01 нояб. 2016, в 18:35
1

Еще 1, добавьте https на cors.io
X Sham 06 фев. 2018, в 10:08
1

Если вы получаете сообщение о превышении квоты, вы можете просто использовать: crossorigin.me/YOUR_LINK_HERE оно предлагает аналогичные услуги!
Yoav Hortman 27 март 2018, в 15:45
0

crossorigin.me - мой сервис для тестирования моих вещей по доверенности
JoeCodeFrog 27 март 2018, в 15:59
0

@jkpd "Нету" ответ
Brandito 29 июнь 2018, в 02:31
1

понизить только из-за очевидной проблемы безопасности
swv 16 июль 2018, в 21:25
0

Мой вопрос, почему домен cors.io может пройти?
etlds 01 нояб. 2018, в 19:39

Показать ещё 15 комментариев

64

Если вы используете Node.js, попробуйте:

app.use(function(req, res, next) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
});

Дополнительная информация: CORS на ExpressJS

Nguyen Tran 12 фев. 2016, в 17:39

5

Я отдаю вам голос, потому что это именно то, что мне было нужно. Но считаю плохой идеей продвигать пример "*", не объясняя, что он допускает любое соединение и не должен использоваться в производстве. Это объясняется по ссылке MDN developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS .
rob 09 июнь 2017, в 09:12
0

@rob спасибо за ваш комментарий. Вы правы, мы должны указать, каким источникам разрешено использовать ресурсы. Но в случае, если ресурсы используются в общественных целях, и мы не знаем потребителей, я думаю, что мы должны пойти с "*", если я не ошибаюсь.
Nguyen Tran 09 июнь 2017, в 11:08
0

Я использовал эту концепцию, и моя проблема решена в nodejs. Спасибо
Deepak Bhatta 20 авг. 2017, в 07:29
0

app.use (function (req, res, next) {res.setHeader ('Access-Control-Allow-Origin', '*'); res.setHeader ('Access-Control-Allow-Methods', 'GET, POST , OPTIONS, PUT, PATCH, DELETE '); res.setHeader (' Access-Control-Allow-Headers ',' X-Requested-With, content-type, Authorization '); res.setHeader (' Access-Control-Allow -Credentials ', true); if (' OPTIONS '=== req.method) {res.send (204);} else {next ();}});
Ricky sharma 26 сен. 2017, в 10:05
1

Относительно опасностей использования "Access-Control-Allow-Origin", "*" , см. Security.stackexchange.com/a/45677 . tldr: спецификация W3 фактически рекомендует следующее: общедоступный ресурс без проверок контроля доступа всегда может безопасно вернуть заголовок Access-Control-Allow-Origin, значение которого равно "*".
CODE-REaD 15 фев. 2018, в 16:45

Показать ещё 3 комментария

60

Там есть проблема с несколькими доменами, использующая Ajax. Вы должны быть уверены, что получаете доступ к своим файлам на одном и том же пути http:// без www. (или доступа из http://www. и отправляете на тот же путь, включая www.), который браузер рассматривает как другой домен при доступе через www., поэтому вы видите, где проблема. Вы отправляете в другой домен, и браузер блокирует поток из-за проблемы с выпуском.

Если API не размещен на том же хосте, который вы запрашиваете, поток блокируется, и вам нужно будет найти другой способ связи с API.

Alin Razvan 12 март 2014, в 10:17

0

да, я был вынужден сделать это в моем приложении телефонной пробки, var app_url = location.protocol + '//' + location.host + '/ api /. проблема была с сайтом www. добавленный принесет эту ошибку.
Sir Lojik 27 апр. 2015, в 12:26

50

Так как
$.ajax({типа: "POST" - вызовы OPTIONS
$.post( - вызывает POST

оба разных почтальона правильно называют "POST", но при вызове это будет "OPTIONS"

Для веб-сервисов С# - webapi

Добавьте следующий код в файл web.config под тегом <system.webServer>. Это будет работать

<httpProtocol>
    <customHeaders>
        <add name="Access-Control-Allow-Origin" value="*" />
    </customHeaders>
</httpProtocol>

Пожалуйста, убедитесь, что вы не делаете никаких ошибок в вызове ajax

JQuery

$.ajax({
    url: 'http://mysite.microsoft.sample.xyz.com/api/mycall',
    headers: {
        'Content-Type': 'application/x-www-form-urlencoded'
    },
    type: "POST", /* or type:"GET" or type:"PUT" */
    dataType: "json",
    data: {
    },
    success: function (result) {
        console.log(result);    
    },
    error: function () {
        console.log("error");
    }
});

Выпуск Angular 4, пожалуйста, смотрите: http://www.hubfly.com/blog/solutions/how-to-fix-angular-4-api-call-issues/

Примечание. Если вы ищете загрузку контента со стороннего веб-сайта, это не поможет. Вы можете попробовать следующий код, но не JavaScript.

System.Net.WebClient wc = new System.Net.WebClient();
string str = wc.DownloadString("http://mysite.microsoft.sample.xyz.com/api/mycall");

George Livingston 13 дек. 2016, в 14:36

0

Этот конфиг решил ту же ошибку на Wordpress в Azure Services. Благодарю.
Andre Mesquita 22 май 2017, в 13:41
8

Я бы предложил использовать конкретное значение источника, чтобы избежать запросов от внешних доменов. Так, например, вместо * используйте https://www.myotherdomain.com
pechar 09 июнь 2017, в 08:30

23

Попробуйте XDomain,

Реферат: Чистая альтернатива JavaScript CORS/ polyfill. Не требуется настройка сервера - просто добавьте proxy.html в домене, с которым вы хотите общаться. Эта библиотека использует XHook для привязки всех XHR, поэтому XDomain должен работать совместно с любой библиотекой.

user3359786 01 апр. 2014, в 08:50

11

Если вы не хотите, чтобы:

Отключить веб-безопасность в Chrome
Используйте JSONP
Используйте сторонний сайт для перенаправления ваших запросов

и вы уверены, что на вашем сервере включена поддержка CORS (протестируйте CORS здесь: http://www.test-cors.org/)

Затем вам нужно передать параметр origin с вашим запросом. Этот источник ДОЛЖЕН соответствовать источнику, который ваш браузер отправляет с вашим запросом.

Вы можете увидеть это в действии здесь: http://www.wikinomad.com/app/detail/Campgrounds/3591

Функция редактирования отправляет запрос GET & POST в другой домен для извлечения данных. Я установил параметр источника, который решает проблему. Бэкэнд - это движок mediaWiki.

TL;DR: добавьте параметр "origin" к вашим вызовам, который должен быть параметром Origin, который отправляет ваш браузер (вы не можете подделать параметр origin)

Ganesh Krishnan 07 июль 2016, в 06:13

1

Вы ссылаетесь на этот пример кода из main.min.js ?: t.post("https://wiki.wikinomad.com/api.php?origin=https://www.wikinomad.com", n, o).then(function(e) {... Если это так, то не правда ли, что этот способ указания источника требует, чтобы PHP, обслуживаемый из "бэкэнда", был закодирован для его поддержки, и этот ответ не будет работать иначе?
CODE-REaD 15 фев. 2018, в 20:18
1

@ CODE-REaD, да, это верно, что бэкэнд должен также поддерживать CORS.
Ganesh Krishnan 19 янв. 2019, в 17:55

8

Основываясь на ответе на shruti, я создал ярлык браузера Chrome с необходимыми аргументами:

Mohammad AlBanna 03 июль 2016, в 01:38

70

Отлично. Теперь мне нужно обойтись со своими 100 000 пользователей и отключить их веб-безопасность на Chrome.
Ganesh Krishnan 06 июль 2016, в 06:08
7

@GaneshKrishnan Спрашивающий, кажется, разработчик, и его вопрос (по моему мнению), кажется, для целей развития, как и моя проблема. И да, если вы хотите взломать своих пользователей, обойдите их и отключите их веб-безопасность в Chrome :)
Mohammad AlBanna 06 июль 2016, в 18:37

8

У меня была следующая конфигурация, приводящая к той же ошибке при запросе ответов с сервера.

Серверная сторона: SparkJava → предоставляет REST-API
Клиентская сторона: ExtJs6 → обеспечивает рендеринг браузера

На стороне сервера мне пришлось добавить это в ответ:

Spark.get("/someRestCallToSpark", (req, res) -> {
    res.header("Access-Control-Allow-Origin", "*"); //important, otherwise its not working 
    return "some text";
 });

На стороне клиента мне пришлось добавить это в запрос:

Ext.Ajax.request({
    url: "http://localhost:4567/someRestCallToSpark",
    useDefaultXhrHeader: false, //important, otherwise its not working
    success: function(response, opts) {console.log("success")},
    failure: function(response, opts) {console.log("failure")}
});

kiltek 18 сен. 2015, в 15:21

0

Имел ту же архитектуру, следовательно, ту же проблему, и это решало ее.
Fafhrd 07 окт. 2015, в 19:03
3

Это не очень хорошая идея, чтобы разрешать запросы из любого домена. Вы должны ограничить его только доверенным доменом.
MD. Sahib Bin Mahboob 15 янв. 2016, в 05:36
0

Если вы являетесь хостом обоих доменов, то обычным делом является включение этого типа запросов.
kiltek 25 май 2016, в 08:42

Показать ещё 1 комментарий

8

У меня возникла проблема с этим, когда я использовал AngularJS для доступа к моему API. Тот же запрос работал в SoapUI 5.0 и ColdFusion. Мой метод GET уже имел заголовок Access-Control-Allow-Origin.

Я узнал, что AngularJS делает "пробный" запрос OPTIONS. ColdFusion, по умолчанию, генерирует метод OPTIONS, но в нем не так много, эти заголовки специально. Ошибка возникла в ответ на этот вызов OPTIONS, а не на мой намеренный вызов GET. После того, как я добавил метод OPTIONS ниже в свой API, проблема была решена.

<cffunction name="optionsMethod" access="remote" output="false" returntype="any" httpmethod="OPTIONS" description="Method to respond to AngularJS trial call">
    <cfheader name="Access-Control-Allow-Headers" value="Content-Type,x-requested-with,Authorization,Access-Control-Allow-Origin"> 
    <cfheader name="Access-Control-Allow-Methods" value="GET,OPTIONS">      
    <cfheader name="Access-Control-Allow-Origin" value="*">      
    <cfheader name="Access-Control-Max-Age" value="360">        
</cffunction>

Leonid Alzhin 29 янв. 2015, в 01:17

5

Это не то, что делает запрос OPTIONS, это браузер, основанный на запросе!
Narretz 12 окт. 2015, в 17:36
1

Narretz - вызов API через браузер не вызывает этой ошибки и не вызывает вызов дополнительных опций. Когда используется угловой, это делает.
Leonid Alzhin 17 нояб. 2015, в 00:20
3

Нарретц прав, это не связано с угловым. Это связано с тем, как работает CORS.
Emile Bergeron 18 окт. 2016, в 15:23

Показать ещё 1 комментарий

7

https://github.com/Rob--W/cors-anywhere/ предоставляет (Node.js) код, который вы можете использовать для настройки и запуска собственного прокси-сервера CORS. Он активно поддерживается и предоставляет ряд функций для управления прокси-поведением за пределами простой отправки правильных заголовков ответов Access-Control-*.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS содержит подробные сведения о том, как браузеры обрабатывают запросы кросс-происхождения, которые клиентские веб-приложения создают из JavaScript и какие заголовки вы должны настроить отправку сервером запроса, если вы можете.

В случае, когда сайт, на который нужно отправить запрос и получить ответ, не возвращает заголовок ответа Access-Control-Allow-Origin, браузеры всегда будут блокировать запросы кросс-происхождения, сделанные им непосредственно на вашем клиентском JavaScript-скрипте код от работы. И если сайт не тот, которым вы управляете, и можете настроить поведение, единственное, что будет работать в этом случае, - это проксирование запросов - либо через собственный прокси-сервер, который вы запускаете, либо через открытый прокси.

Как уже упоминалось в других комментариях, есть веские причины не доверять открытому прокси с вашими запросами. Тем не менее, если вы знаете, что делаете, и вы решаете, что открытый прокси работает для ваших нужд, https://cors-anywhere.herokuapp.com/ - это тот, который надежно доступен, активно поддерживается, и он запускает экземпляр https://github.com/Rob--W/cors-anywhere/.

Как и в случае с другими открытыми прокси-серверами, упомянутыми здесь (пара, по крайней мере, кажется, больше недоступна), способ, которым он работает, заключается в том, что вместо того, чтобы ваш клиентский код отправлял запрос напрямую, например, http://foo.com, вы отправьте его в https://cors-anywhere.herokuapp.com/http://foo.com, и прокси добавит необходимые заголовки Access-Control-* в ответ, который видит браузер.

sideshowbarker 12 март 2017, в 08:58

7

Вы можете обойти эту проблему, используя YQL для проксирования запроса через серверы Yahoo. Это всего лишь несколько строк кода:

var yql_url = 'https://query.yahooapis.com/v1/public/yql';
var url = 'your api url';

$.ajax({
    'url': yql_url,
    'data': {
        'q': 'SELECT * FROM json WHERE url="'+url+'"',
        'format': 'json',
        'jsonCompat': 'new',
    },
    'dataType': 'jsonp',
    'success': function(response) {
        console.log(response);
    },
});

Здесь ссылка с объяснением: https://vverma.net/fetch-any-json-using-jsonp-and-yql.html

camnesia 21 нояб. 2016, в 15:52

0

но через несколько секунд все остальные коды запускаются, а затем инициализируются.
saber tabatabaee yazdi 08 июнь 2017, в 16:16

5

В моем случае я использовал приложение JEE7 JAX-RS, и следующие трюки отлично работали для меня:

@GET
    @Path("{id}")
    public Response getEventData(@PathParam("id") String id) throws FileNotFoundException {
        InputStream inputStream = getClass().getClassLoader().getResourceAsStream("/eventdata/" + id + ".json");
        JsonReader jsonReader = Json.createReader(inputStream);
        return Response.ok(jsonReader.readObject()).header("Access-Control-Allow-Origin", "*").build();
    }

Bhuwan Gautam 13 авг. 2016, в 16:54

5

Если вы используете Entity Framework, кажется, что эта ошибка иногда возникает, даже если у вас включен CORS. Я понял, что ошибка произошла из-за отсутствия завершения запроса. Я надеюсь, что это поможет другим в той же ситуации.

В следующем коде может произойти ошибка XMLHttpRequest cannot load http://myApiUrl/login. No 'Access-Control-Allow-Origin' header is present on the requested resource.:

using (DBContext db = new DBContext())
{
    return db.Customers.Select(x => new
    {
        Name = x.Name,
        CustomerId = x.CustomerId,
    });
}

Чтобы исправить это, требуется завершить финализацию, например, .ToList() или .FirstOrDefault() в конце запроса, например:

using (DBContext db = new DBContext())
{
    return db.Customers.Select(x => new
    {
        Name = x.Name,
        CustomerId = x.CustomerId,
    }).ToList();
}

Loyalar 03 нояб. 2015, в 08:26

1

Это похоже на ошибку, которая произойдет в любом приложении структуры сущностей, если вы не завершите запрос. На самом деле не связано с CORS или вопросом ОП.
Gary 04 янв. 2016, в 21:20
2

Вполне возможно, что он не связан с CORS, но выдает ошибку, которая звучит так, как будто она имеет отношение к CORS; отсюда мой ответ.
Loyalar 17 фев. 2016, в 06:52

4

Для API GoLang:

Сначала вы можете посмотреть MDN CORS Doc, чтобы узнать, что такое CORS. Насколько я знаю, CORS говорит о том, разрешать ли Origin Request доступ к ресурсу сервера или нет.

И вы можете ограничить, какой источник запроса может получить доступ к серверу, установив Access-Control-Allow-Origin в Header ответа сервера.

Например, установка следующего заголовка в ответе сервера означает, что только запрос, отправленный из http://foo.example, может получить доступ к вашему серверу:

Access-Control-Allow-Origin: http://foo.example

и затем разрешить запрос, отправленный из любого источника (или домена):

Access-Control-Allow-Origin: *

И как я знаю в сообщении об ошибке, requested resource означает ресурс сервера, поэтому No 'Access-Control-Allow-Origin' header is present on the requested resource. означает, что вы не установили заголовок Access-Control-Allow-Origin в вашем ответе сервера, или, может быть, вы установили, но источник запроса isn ' t в Access-Control-Allow-Origin, поэтому запрос не допускается:

Нет заголовка "Access-Control-Allow-Origin" присутствует на запрошенном ресурсе. Поэтому исходный "null" не допускается.

В GoLang я использую пакет gorilla/mux для сборки сервера API в localhost:9091, и я разрешаю CORS путем добавления "Access-Control-Allow-Origin", "*" в заголовок ответа:

func main() { // API Server Code
    router := mux.NewRouter()
    // API route is /people,
    //Methods("GET", "OPTIONS") means it support GET, OPTIONS
    router.HandleFunc("/people", GetPeople).Methods("GET", "OPTIONS")
    log.Fatal(http.ListenAndServe(":9091", router))
}

// Method of '/people' route
func GetPeople(w http.ResponseWriter, r *http.Request) {

    // Allow CORS by setting * in sever response
    w.Header().Set("Access-Control-Allow-Origin", "*")

    w.Header().Set("Access-Control-Allow-Headers", "Content-Type")
    json.NewEncoder(w).Encode("OKOK")
}

И я использую JavaScript в клиенте, в localhost:9092 сделать запрос от Chrome может успешно получить "OKOK" с сервера localhost:9091.

function GetPeople() {
    try {
        var xhttp = new XMLHttpRequest();
        xhttp.open("GET", "http://localhost:9091/people", false);
        xhttp.setRequestHeader("Content-type", "text/html");
        xhttp.send();
        var response = JSON.parse(xhttp.response);
        alert(xhttp.response);
    }
    catch (error) {
        alert(error.message);
    }
}

Кроме того, вы можете проверить свой заголовок запроса/ответа с помощью таких инструментов, как Fiddler.

yu yang Jian 19 нояб. 2017, в 13:39

4

Если вы получите это сообщение об ошибке в браузере:

No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin '…' is therefore not allowed access

когда вы пытаетесь выполнить запрос AJAX POST/GET удаленному серверу, который вышел из-под контроля, забудьте об этом простом исправлении:

<?php header('Access-Control-Allow-Origin: *'); ?>

Вам действительно нужно, особенно если вы используете JavaScript только для выполнения запроса Ajax, внутреннего прокси-сервера, который берет ваш запрос и отправляет его на удаленный сервер.

Сначала в своем JavaScript-коде выполните вызов Ajax на ваш собственный сервер, например:

$.ajax({
    url: yourserver.com/controller/proxy.php,
    async: false,
    type: "POST",
    dataType: "json",
    data: data,
    success: function (result) {
        JSON.parse(result);
    },
    error: function (xhr, ajaxOptions, thrownError) {
        console.log(xhr);
    }
});

Затем создайте простой PHP файл с именем proxy.php, чтобы обернуть ваши данные POST и добавить их на удаленный URL-сервер в качестве параметров. Я приведу пример того, как я обойду эту проблему с API поиска Expedia:

if (isset($_POST)) {
  $apiKey = $_POST['apiKey'];
  $cid = $_POST['cid'];
  $minorRev = 99;

  $url = 'http://api.ean.com/ean-services/rs/hotel/v3/list?' . 'cid='. $cid . '&' . 'minorRev=' . $minorRev . '&' . 'apiKey=' . $apiKey;

  echo json_encode(file_get_contents($url));
 }

Выполняя:

echo json_encode(file_get_contents($url));

Вы просто выполняете тот же запрос, но на стороне сервера, и после этого он должен работать нормально.

Ответ скопирован и вставлен из NizarBsb

Flash 26 окт. 2017, в 14:45

0

Ссылка для ответа @ NizarBsb находится здесь. На запрашиваемом ресурсе отсутствует заголовок «Access-Control-Allow-Origin». Происхождение «…» поэтому не допускается
tech_me 06 июнь 2018, в 13:04
0

Это большой риск для безопасности!
Stephan Weinhold 09 июнь 2018, в 20:14
0

@ stephan-weinhold на случай, если вы действительно очистите параметры URL. будет ли это все еще представлять угрозу безопасности? Зачем?
mwallisch 13 июнь 2018, в 11:15

Показать ещё 1 комментарий

4

Популярный вопрос - Еще одна вещь, на которую нужно смотреть, если вы читали это далеко, и ничего больше не помогло. Если у вас есть CDN, например Akamai, Limelight или подобное, вы можете проверить ключ кеша, который у вас есть для URI ресурса. Если он не содержит значение заголовка Origin, вы можете вернуть ответ в кешированный запрос по другому источнику. Мы просто потратили полдня на отладку. Конфигурация CDN была обновлена, чтобы включать только значение Origin для нескольких выбранных доменов, которые являются нашими, и установить для него значение null для всех остальных. Это похоже на работу и позволяет браузерам из наших известных доменов просматривать наши ресурсы. Конечно, все остальные ответы являются предпосылками для получения здесь, но если CDN является первым переходом из вашего браузера, это то, что нужно рассмотреть.

В нашем случае мы могли видеть, как некоторые запросы поступают к нашему сервису, но не почти по объему, который отправлял сайт. Это указывало нам на CDN. Мы смогли вернуться и посмотреть, что исходный запрос был подан с помощью прямого запроса, а не части вызова AJAX браузера, и заголовок ответа Access-Control-Allow-Origin не был включен. По-видимому, CDN кэшировал это значение. Конфигурация конфигурации Akamai CDN, чтобы рассмотреть значение заголовка запроса Origin как часть совпадения, похоже, заставило его работать для нас.

No Refunds No Returns 07 сен. 2017, в 15:40

1

В вашем случае, разве отправка заголовка ответа Vary: Origin не достигла такого же эффекта? stackoverflow.com/questions/46063304/...
sideshowbarker 07 сен. 2017, в 21:19
2

Да, но мы не делаем. Служба, доступная миру, может быть DOS'а через взлом кеша путем отправки поддельных значений. Akamai имеет некоторую помощь в этой области, чтобы уменьшить воздействие DOS. Я хочу сказать, что вы можете делать все, что перечислено, и все еще иметь проблемы из-за кеширования.
No Refunds No Returns 07 сен. 2017, в 22:42
0

В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Quentin 13 сен. 2017, в 08:39
0

@Quentin Вы так правы! однако, это хит № 1 для многих поисков по этой теме, уже есть множество ответов, которые отличаются от точного вопроса, но дают полезную информацию И это было то, что мы обнаружили 7 сентября после исчерпания всех потоков. Я ценю ваше отрицательное мнение. Будущие читатели также смогут оценить, был ли этот «не ответ» полезным при голосовании, возможно, даже не так, как вы. Есть по крайней мере еще один человек, который уже публично не согласился с вашим мнением. Будет интересно посмотреть, как отсюда идет голосование ........
No Refunds No Returns 13 сен. 2017, в 14:54
0

+ 5 / -1 Еще раз спасибо массам.
No Refunds No Returns 21 авг. 2018, в 17:42

Показать ещё 3 комментария

4

Я успешно смог решить (в моем случае для шрифтов) использовать htaccess, но, очевидно, OP задает немного разные. Но вы можете использовать шаблон FileMatch и добавлять любое расширение, чтобы он не выдавал ошибку cros.

<IfModule mod_headers.c>
  <FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|font.css|css)$">
    Header set Access-Control-Allow-Origin "*"
  </FilesMatch>
</IfModule>

https://httpd.apache.org/docs/2.4/mod/core.html#filesmatch

Danish 15 июнь 2017, в 08:49

3

Много раз это происходит со мной от javascript к моему php api, потому что одна из нескольких причин. Я забыл поставить <?php header('Access-Control-Allow-Origin: *'); ? один. Это полезно для доступа к перекрестным доменам. Другая причина заключается в том, что в jQuery ajax-запросе я указываю конкретный тип данных и возвращаю другой тип данных, поэтому он выдает ошибку.

Последняя и наиболее известная аргументация этой ошибки заключается в том, что на странице, которую вы запрашиваете, есть ошибка синтаксического анализа. Если вы нажмете URL-адрес этой страницы в своем браузере, более вероятно, вы увидите ошибку синтаксического анализа, и у вас будет номер строки для решения проблемы.

Надеюсь, это поможет кому-то. Мне потребовалось некоторое время, чтобы отладить это, и я бы хотел, чтобы у меня был контрольный список вещей для проверки.

Garrett Tacoronte 25 март 2016, в 20:59

2

в случае, если вы хотите исправить это на бэкэнд (в Flask), а не на лицевой стороне, я бы полностью рекомендовал пакет POS-пакетов Flask CORS. Фляги Корс

С помощью одной простой строки в app.py вы можете автоматически вставить стандарт, разрешить любой заголовок источника, или настроить его по мере необходимости.

Ben Watts 11 авг. 2018, в 11:12

2

Большинство этих ответов говорят пользователям, как добавить заголовки CORS на сервер, который они контролируют.

Однако, если вам нужны данные с сервера, который вы не контролируете на веб-странице, одним из решений является создание тега script на вашей странице, установите атрибут src в конечную точку api, у которой нет заголовков CORS, затем загрузите эти данные на страницу:

  window.handleData = function (data) { console.log(данные)
};

var script= document.createElement('script');
script.setAttribute( 'SRC', 'HTTPS://some.api/without/cors/headers.com& обратный вызов = handleData');
document.body.appendChild(сценарий);
Код>

duhaime 31 янв. 2018, в 15:51

0

Отличный ответ, но если скрипт не в правильном формате, вы не можете получить его код (script.text = empty). Что делать в этом случае? Как добраться до его кода?
Angel T 08 фев. 2018, в 06:52
0

Как предотвратить выполнение скрипта (может быть, как все это прокомментировать)?
Angel T 08 фев. 2018, в 07:16
0

И еще одна интересная вещь: только IE11 с включенным «Доступ к источникам данных через домены» может получить доступ к междоменному домену (без необходимости управлять сервером для модификации Origin!). Все остальные основные браузеры не могут
Angel T 08 фев. 2018, в 08:14

Показать ещё 1 комментарий

2

Для полноты Apache разрешает cors:

Header set Access-Control-Allow-Origin "http://www.allowonlyfromthisurl.com"
Header set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
Header set Access-Control-Max-Age "1000"
Header set Access-Control-Allow-Headers "x-requested-with, Content-Type, Accept-Encoding, Accept-Language, Cookie, Referer"

zak 20 нояб. 2017, в 00:38

0

Любой может добавить к этому ^
zak 20 нояб. 2017, в 00:05
0

Работал на Apache и Laravel 5.4
Rohit Dhiman 18 сен. 2018, в 06:56

2

На моем веб-сайте (на основе .NET) я только что добавил это:

<system.webServer>
 <httpProtocol>  
    <customHeaders>  
     <add name="Access-Control-Allow-Origin" value="*" />  
     <add name="Access-Control-Allow-Headers" value="Content-Type" />  
     <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />  
    </customHeaders>  
  </httpProtocol>         
</system.webServer>

Большое спасибо это видео.

FrenkyB 19 авг. 2017, в 16:35

1

В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Quentin 13 сен. 2017, в 08:40

2

Я получил эту ошибку с $http.get в Angular. Мне нужно было использовать $http.jsonp.

Travis Heeter 13 фев. 2017, в 18:07

2

CORS для вас.

CORS - это совместное использование ресурсов Cross Origin, и это способ отправки запроса междоменного доступа. Теперь API XMLHttpRequest2 и Fetch поддерживают CORS.

Но он имеет свои пределы. Серверу требуется конкретное требование Access-Control-Allow-Origin, и его нельзя установить в '*'.

И если вы хотите, чтобы любое происхождение могло отправить вам запрос, вам нужен JSONP (также нужно установить Access-Control-Allow-Origin, но может быть "*" ).

Для большого количества запросов, если вы не знаете, что выбрать, я думаю, для этого вам нужен полностью функциональный компонент. Позвольте мне ввести простой компонент catta

Если вы используете современный браузер ( > Internet Explorer9, Chrome, Firefox, Edge и т.д.), очень рекомендуется использовать простой, но красивый компонент, https://github.com/Joker-Jelly/catta. Он не имеет зависимостей, составляет менее 3 килобайт, и он поддерживает Fetch, Ajax и JSONP с такими же простыми синтаксисами и параметрами.

catta('./data/simple.json').then(function (res) {
  console.log(res);
});

Он также поддерживает весь способ импорта в ваш проект, например, модуль ES6, CommonJS и даже <script> в HTML.

Jelly 19 янв. 2017, в 14:49

0

У меня есть локальный сайт IIS, на котором размещен мой API. У меня есть внешний сайт, доступ к которому осуществляется за пределами локальной сети. Я пытаюсь выполнить API с внешнего сайта, у меня включен CORS для внешнего сайта (например, [EnableCors(origins: "http://websitelink.com", headers: "*", methods: "*")] но это не работает. Любая идея? forums.asp.net/p/2117965/…
Si8 24 март 2017, в 14:12

1

В запросе jsonp вы должны поймать "jsonpCallback" и отправить его обратно.

$.ajax({
      url: lnk,
      type: 'GET',
      crossDomain: true,
      dataType: 'jsonp',
      success: function (ip) { console.log(ip.ip); },
      error: function (err) { console.log(err) }
});

На стороне сервера (если вы используете в качестве backend PHP)

echo $_GET['callback'].'({"ip":"192.168.1.1"})';

В этом случае backend-ответ кажется

jQuery331009526199802841284_1533646326884 ({ "ф": "192.168.1.1"})

но вы можете установить "jsonpCallback" вручную на интерфейсе и поймать его на стороне сервера

$.ajax({
      url: lnk,
      type: 'GET',
      crossDomain: true,
      dataType: 'jsonp',
      jsonpCallback: 'get_ip',
      success: function (ip) { console.log(ip.ip); },
      error: function (err) { console.log(err) }
});

В этом случае backend-ответ кажется

get_ip ({ "ф": "192.168.1.1"})

Alexey Kolotsey 07 авг. 2018, в 14:38

1

Возможно, это немного сложнее, но вы можете использовать веб-сервер для маршрутизации запроса. С nodejs вы не имеете этой проблемы. Я не эксперт в узле js. Поэтому я не знаю, является ли это чистым кодом.

Но это работает для меня

Вот несколько примеров:

NODE JS

var rp = require('request-promise');
var express = require('express'),
    app = express(),
    port = process.env.PORT || 3000;
var options = {
    method: 'POST',
    uri: 'http://api.posttestserver.com/post',
    body: {
        some: 'payload'
    },
    json: true // Automatically stringifies the body to JSON
};
app.get('/', function (req, res) {
        rp(options)
        .then(function (parsedBody) {
            res.send(parsedBody)
        })
        .catch(function (err) {
            res.send(err)
        });
});
app.listen(port);

JS

axios.get("http://localhost:3000/").then((res)=>{
    console.log('================res====================');
    console.log(res);
    console.log('====================================');
})

KT Works 17 июль 2018, в 10:44

1

Нет заголовка "Access-Control-Allow-Origin" присутствует на запрошенном ресурсе. Origin 'https://sx.xyz.com', следовательно, не допускается.

Я столкнулся с аналогичной проблемой с Exchange Domain Exchange в ответе Ajax как ошибка undefined. Но ответ в заголовке был Код состояния: 200 OK

  Не удалось загрузить https://www.Domain.in/index.php?route=api/synchronization/checkapikey:
В запрошенном ресурсе нет заголовка  "Access-Control-Allow-Origin".
Следовательно, для источника https://sx.xyz.in 'не разрешен доступ.
Код>

Решение обойти это: В моем случае нужно было вызвать функцию checkapikey() через Ajax в другой домен и получить ответ с данными, где был сделан вызов:

  if (($ this- > request- > server ['REQUEST_METHOD'] == 'POST') && isset ($ this- > request- > server ['HTTP_ORIGIN' ])) {
       $ this- > response- > addHeader ('Access-Control-Allow-Origin:'. $this- > request- > server ['HTTP_ORIGIN']);       $ this- > response- > addHeader ('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');       $ this- > response- > addHeader ( "Access-Control-Max-Age: 1000" );       $ this- > response- > addHeader ('Access-Control-Allow-Credentials: true');       $ this- > response- > addHeader ( "Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With" );
       $ headers = getallheaders();
...
}
Код>

Nishanth ॐ 03 март 2018, в 05:57

1

Для сервера Ruby on Rails в application_controller.rb добавьте следующее:

after_action :cors_set_access_control_headers

def cors_set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Control-Allow-Headers'] = '*'
end

张健健 11 авг. 2017, в 08:18

1

В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Quentin 13 сен. 2017, в 08:40

0

Я создал простой мост в своем собственном домене, который выбирает и показывает контент из внешнего домена.

<?php
header("Content-Type: text/plain");
if (isset($_GET["cnic"]))
{
    $page = file_get_contents("https://external.domain.com/api/verify/" . $_GET["cnic"]);
    echo $page;
}
else
{
    echo "";
}

?>

Теперь вместо доступа к внешнему домену в AJAX я разместил URL этого файла моста.

Muhammad Saqib 05 фев. 2019, в 16:54

0

Возможно, вы не захотите использовать Jsonp, потому что он имеет некоторые ограничения, например, не поддерживает метод POST.

Вам просто нужно включить CORS на вашем сервере.

Если вы используете весеннюю загрузку, прочитайте этот пост: https://spring.io/guides/gs/rest-service-cors/

Короче говоря, просто положить:

@CrossOrigin(origins = "*")

перед вашей аннотацией @RequestMapping.

inter18099 26 дек. 2018, в 09:30

0

Я использую AngularJS и Spring на локальном хосте (разные порты), и у меня была та же проблема, добавление @CrossOrigin (origins = "*"), как указано ниже, решило ее.
user1913615 09 янв. 2019, в 14:10

0

Возможно, вы можете скопировать ресурс с производственного сервера на разработку сервер, и у вас есть URL-адрес ресурса для динамического изменения. Таким образом, вы всегда будете читать из одного источника, исключая исключение перекрестного происхождения.

bachstein 27 сен. 2017, в 15:51

0

Просто упомянем еще один способ "обойти" его - прокси AJAX. Отправьте запрос на ваш сервер, чтобы получить данные из другого источника и отправить запрос обратно.

Я предпочитаю этот подход над JSONP, потому что у него есть некоторые потенциальные проблемы с безопасностью.

carobnodrvo 11 июль 2017, в 20:19

0

В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Quentin 13 сен. 2017, в 08:40

0

Для Opera (он работает так же, как Chrome), Я начал браузер с помощью этой команды:

opera --user-data-dir="~/Downloads/opera-session" --disable-web-security

Проблема решена! Теперь я могу работать с локальным файлом HTML (на моем жестком диске) и вызывать запросы Ajax для удаленного источника в том же файле.

Примечание 1: Вы можете указать любую папку в своем домашнем каталоге как -user-data-dir.

Примечание 2: Протестировано на Debian 8 (Jessie)/Opera 39

Когда вы начинаете нормально (без параметров выше), тот же запрос попадает в блок кода ошибки.

csonuryilmaz 20 апр. 2017, в 10:26

0

Я разрешил это, включив CORS для URL-адреса клиента, обращающегося к веб-API, и он успешно работал.

Например:

[EnableCors(origins: "http://clientaccessingapi.com", headers: "*", methods: "*")]

Rizwan ali 03 апр. 2017, в 18:43

-1

Пожалуйста, добавьте dataType: 'jsonp' в функцию Ajax, и он работает. (


    $.ajax({
      type: "POST",
      dataType: 'jsonp',
      success: function(response) {
        alert("success");
      },
      error: function(response) {
        console.log(JSON.stringify(response));
      }
    });

Walk 11 апр. 2017, в 07:16

0

Не работает на Chrome
Omar Khazamov 25 апр. 2017, в 09:57
0

@ OmarKhazamov да, это так.
Kevin B 30 июнь 2017, в 18:19
0

@ Сону хм ... ПОСТ, с JSONP? что? это не имеет никакого смысла.
Kevin B 30 июнь 2017, в 18:19
0

@KevinB Когда вы используете JSONP, $ .ajax будет игнорировать тип, поэтому это всегда GET, что означает, что этот ответ всегда будет работать.
Walk 08 март 2018, в 07:24
0

Конечно, это будет работать, но это не имеет смысла. исправить обе проблемы.
Kevin B 08 март 2018, в 07:44

Показать ещё 3 комментария

-5

Я попробовал следующее решение. Этот метод работает только тогда, когда ваш сервер работает локально.

Поместите следующую строку в файл web.xml.

<filter>
    <filter-name>CORS</filter-name>
    <filter-class>com.thetransactioncompany.cors.CORSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CORS</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

Загрузите cors-filter-2.1.2 и java-property- utils-1.9.1 и поместить в библиотеку
Откройте браузер, чтобы разрешить управление доступом с помощью следующего кода в терминале (Mac)
```
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --allow-file-access-from-files
```

rinkesh 30 дек. 2014, в 06:12

Ещё вопросы

Вы делаете запрос от localhost или прямо выполняете HTML?
@ MD.SahibBinMahboob Если я понимаю ваш вопрос, я запрашиваю у localhost - у меня есть страница на моем компьютере, и я просто запускаю ее. Когда я размещаю сайт на хостинге, он дает тот же результат.
домен вашей исполняемой страницы и запрашиваемое имя домена одинаковые или разные?
много связанных: stackoverflow.com/questions/10143093/…
Для тех, кто хочет больше читать, в MDN есть хорошая статья, посвященная ajax и запросам разных источников: developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
header("Access-Control-Allow-Origin: *"); попытки header("Access-Control-Allow-Origin: *"); в источнике.
Вы можете сослаться на это, если вы используете .Net. stackoverflow.com/questions/19174435/...
Его работа для меня stackoverflow.com/questions/10143093/…
Одно важное замечание для этого типа ошибки в узле js. Вы ДОЛЖНЫ установить заголовки доступа при запуске файла server.js ПЕРЕД началом настройки маршрутов. В противном случае все будет работать отлично, но вы получите эту ошибку, когда будете делать запросы из своего приложения.
@ Cregox, спасибо. Что за математика там с миллионами голосов! ??? Когда вы можете просто добавить этот заголовок на серверные PHP-файлы.
Я пытаюсь использовать этот инструмент CORS, но я не знаю, как его использовать. Вы можете помочь мне с этим?
@Ruby_Pry просто добавьте расширение из приведенного выше URL-адреса, и затем вы увидите значок приложения CORS в верхней левой части браузера Chrome, нажмите на него, вы увидите всплывающее окно, где вы можете включить его всякий раз, когда вы хотите разрешить доступ через CORS.
Это замечательно, но клиентов нельзя попросить запустить Chrome таким образом, чтобы обеспечить выполнение внутреннего требования для вызова веб-службы.
@ Taersious да, вы правы, для этого нам нужно установить заголовки CORS на стороне сервера.
это не следует воспринимать как ответ, устанавливая сторонний плагин для исправления вашего приложения, вместо того, чтобы понимать CORS и исправлять ваше приложение, как другие люди будут использовать ваш API? Вы заставите их всех установить этот плагин?
Я установил это расширение и сделал запрос, после чего проверил запрос в fiddler, было указано следующее -> Origin: evil.com . Похоже, это расширение меняет Происхождение на evil.com
Это расширение работает как шарм. Но на самом деле, что они делают внутри? Есть ли способ сделать то же самое в Javascript или Jquery, а не с помощью плагина?
@sms, почему я хочу делать в javascript, каков точный вариант использования?
@shruti Поскольку я собираюсь передать приложение конечному пользователю, мне нужно предоставить отдельные плагины для каждого браузера. Также невозможно добавить заголовок на моем целевом сервере. Если нужно внести какие-либо изменения, это должно быть сделано в моем клиентском приложении, из которого сделан вызов ajax.
@SMS Я думаю, вы можете использовать JSONP, я не уверен. Посмотрите на эту ссылку dev.socrata.com/docs/cors-and-jsonp.html может быть, это помогает.
работал хорошо для меня. я использую это с Cordova в отладке через "браузерную" платформу через cordova run browser
Я обнаружил, что расширение не заполняет счет. Похоже, что Chrome не нравится тот факт, что Access-Control-Allow-Origin: * при использовании withCredentials: <blah blah> был заблокирован политикой CORS: значение заголовка «Access-Control-Allow-Origin» в ответ не должен быть подстановочным знаком «*», если режим учетных данных запроса «включить». Происхождение 'null', следовательно, не разрешено. Режим учетных данных запросов, инициируемых XMLHttpRequest, контролируется атрибутом withCredentials
Я думаю, что это действительно хороший ответ, если вам не нужно постоянное исправление или если вам нужно только временно отключить CORS. Это то, что мне было нужно, и это решение отлично работало. Очевидно, что это никогда нельзя считать постоянным решением.
Вы рекомендуете людям отключить все средства безопасности в своем браузере только для запуска кода ваших приложений? Нет нет нет нет нет нет !!!
Я не могу поверить, что этот ответ получил какие-либо откровения или доверие. Вместо того, чтобы решить проблему, вы просто отключите поврежденную безопасность просмотра. Глупое решение.
Этот ответ в порядке. Что касается работы с девайсом, это заставило меня быстро заработать, и я вернусь и найду подходящее решение позже ...
Это здорово, это помогло мне протестировать мой код на локальной машине, где, как на сервере, так и на стороне сервера, код находится в одном домене, так что эта проблема в любом случае не возникнет
Отлично, "chrome.exe --user-data-dir =" C: / Chrome dev session "--disable-web-security" пока работает.
Вы можете быть более безопасными и определить больше настроек (определяя, какой веб-сервер / локальный сервер может делать запросы CO, Access-Control-Allow-Headers и Access-Control-Allow-Methods ) через плагин Moesif Chrome . Шрути, если ты сможешь включить это в свой ответ, я верю, что это поможет еще большему количеству людей.
С NodeJs с типом данных json работал, с ASP.Net это было виновником
Имейте в виду, что jsonp не работает с содержимым POST. Больше обсуждений здесь .
Откуда у этого столько голосов, когда вы не можете использовать jsonp с запросами POST?!?!
Когда вы используете JSONP , $ .ajax будет игнорировать type , поэтому это всегда GET что означает, что этот ответ всегда будет работать.
@fatlog, потому что большинство людей получают к нему доступ с помощью GET
Проще использовать jsonp, чем перенастроить другой хост-сервер. Это экономит время.
Это работает, чтобы получить ответ от google.com/complete/search?client=firefox&q=query
Также обратите внимание, что JSONP не является взаимозаменяемым напрямую с JSON. Вам также нужен сервер для возврата данных в формате JSONP. Простое изменение dataType в настройках запроса AJAX само по себе не сработает.
В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Да, я знаю, что речь идет о Js, но я решил это с помощью PHP очень легко! О проблеме безопасности, если JS в настоящее время находится в другом домене, вы можете пройти через JS, чтобы разрешить его перекрестное происхождение, почему вы не обнаружили, что это не безопасно?
Вы не должны выключать CORS, потому что не знаете, для чего это нужно. Это ужасный ответ.
Хотя это может быть небезопасно, вопрос был не в безопасности, а в том, как выполнить задачу. Это одна из опций, которую разработчик должен выбрать при работе с междоменными запросами AJAX. Это помогло мне решить проблему, и для моего приложения мне все равно, откуда пришли данные. Я очищаю все входные данные с помощью PHP в целевом домене, поэтому, если кто-то захочет опубликовать в нем ненужную информацию, пусть попробуют. Суть в том, что междоменный AJAX может быть разрешен из конечного домена. +1 за ответ.
У меня была та же проблема на том же домене, что и на полном сайте, использующем https, но только одна страница использует метод http, и любой запрос со страницы http приводит к той же ошибке. Я хотел решить эту проблему только с помощью JS, так как добавление такого заголовка не было моим первым выбором. Я пробовал все вышеупомянутые решения, такие как размещение crossDomain: true, withCredentials: true, а также следовал CORS, но ни одно решение не сработало. Затем, наконец, я добавил заголовок ('Access-Control-Allow-Origin: *');
Я хотел бы добавить здесь одну вещь. Если вы используете заголовок ('Access-Control-Allow-Origin: *'); вам нужно удалить withCredentials: true из запроса ajax.
Хотя я согласен с общим посланием, которое дает Пьеро, речь идет не о безопасности, а о безопасности. Я думаю, что это должно было, по крайней мере, сказать что-то вроде: «Как правило, это плохо! Не делайте этого, если вы не знаете, что делаете! Вот еще документация по этому вопросу: ...», и, возможно, кратко объясните почему. Я бы не хотел, чтобы кто-то приходил сюда и думал: «О, я могу просто добавить / настроить этот заголовок, и я в порядке!» и не знаю всех последствий. Я имею в виду, это как бы их исследовать и все, но все же.
@shadysherif как то же самое, используя JavaScript, любая идея ??
@DivyeshKanzariya вы можете использовать Cors html5rocks.com/en/tutorials/cors
@shadysherif Это сработало, его можно использовать для обработки данных без транзакций.
При локальной разработке никто не заботится о безопасности, CORS только мешает. Возможно, ваш сервер node.js работает на другом порту / сервере, чем тот, с которого вы запрашиваете данные. Но в производстве все они могут работать на одном сервере, и в этом случае CORS не вызывает проблем.
Мне нравится этот ответ ... У меня та же проблема, и она решает ее ... Он объяснил, что есть некоторые проблемы с безопасностью, но это еще одна проблема, и пусть каждый человек думает и решает эту проблему ...
Каковы недостатки этого? Эти парни перехватывают мои данные?
..Это приложение временно превысило свою квоту. Пожалуйста, попробуйте позже.
cors.io/?u=HTTP_YOUR_LINK_HERE (небольшая поправка)
Я не думаю, что отправка ваших данных через сторонний прокси является хорошей идеей
Один недостаток - они иногда перегружены, как сейчас. This application is temporarily over its serving quota. Please try again later.
попробуйте тоже https://crossorigin.me/http://example.com
Золотой для тестирования! Долго пытались загрузить некоторые тестовые данные с foo.bar. Как бы то ни было, это решение этой проблемы.
Как внедрить наш собственный сервис для того, что делает этот сайт?
@UlyssesAlves, это просто. Просто внедрите сервисную службу, которая получает URL в качестве параметра, затем загрузите содержимое этого URL и вернитесь к клиенту.
Плохое: The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. , Уродливый Apache/2.4.7 (Ubuntu) Server at cors.io Port 80 (Apache для этого? LOL)
Если вы получаете сообщение о превышении квоты, вы можете просто использовать: crossorigin.me/YOUR_LINK_HERE оно предлагает аналогичные услуги!
crossorigin.me - мой сервис для тестирования моих вещей по доверенности
понизить только из-за очевидной проблемы безопасности
Мой вопрос, почему домен cors.io может пройти?
Я отдаю вам голос, потому что это именно то, что мне было нужно. Но считаю плохой идеей продвигать пример "*", не объясняя, что он допускает любое соединение и не должен использоваться в производстве. Это объясняется по ссылке MDN developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS .
@rob спасибо за ваш комментарий. Вы правы, мы должны указать, каким источникам разрешено использовать ресурсы. Но в случае, если ресурсы используются в общественных целях, и мы не знаем потребителей, я думаю, что мы должны пойти с "*", если я не ошибаюсь.
Я использовал эту концепцию, и моя проблема решена в nodejs. Спасибо
app.use (function (req, res, next) {res.setHeader ('Access-Control-Allow-Origin', '*'); res.setHeader ('Access-Control-Allow-Methods', 'GET, POST , OPTIONS, PUT, PATCH, DELETE '); res.setHeader (' Access-Control-Allow-Headers ',' X-Requested-With, content-type, Authorization '); res.setHeader (' Access-Control-Allow -Credentials ', true); if (' OPTIONS '=== req.method) {res.send (204);} else {next ();}});
Относительно опасностей использования "Access-Control-Allow-Origin", "*" , см. Security.stackexchange.com/a/45677 . tldr: спецификация W3 фактически рекомендует следующее: общедоступный ресурс без проверок контроля доступа всегда может безопасно вернуть заголовок Access-Control-Allow-Origin, значение которого равно "*".
да, я был вынужден сделать это в моем приложении телефонной пробки, var app_url = location.protocol + '//' + location.host + '/ api /. проблема была с сайтом www. добавленный принесет эту ошибку.
Этот конфиг решил ту же ошибку на Wordpress в Azure Services. Благодарю.
Я бы предложил использовать конкретное значение источника, чтобы избежать запросов от внешних доменов. Так, например, вместо * используйте https://www.myotherdomain.com
Вы ссылаетесь на этот пример кода из main.min.js ?: t.post("https://wiki.wikinomad.com/api.php?origin=https://www.wikinomad.com", n, o).then(function(e) {... Если это так, то не правда ли, что этот способ указания источника требует, чтобы PHP, обслуживаемый из "бэкэнда", был закодирован для его поддержки, и этот ответ не будет работать иначе?
@ CODE-REaD, да, это верно, что бэкэнд должен также поддерживать CORS.
Отлично. Теперь мне нужно обойтись со своими 100 000 пользователей и отключить их веб-безопасность на Chrome.
@GaneshKrishnan Спрашивающий, кажется, разработчик, и его вопрос (по моему мнению), кажется, для целей развития, как и моя проблема. И да, если вы хотите взломать своих пользователей, обойдите их и отключите их веб-безопасность в Chrome :)
Имел ту же архитектуру, следовательно, ту же проблему, и это решало ее.
Это не очень хорошая идея, чтобы разрешать запросы из любого домена. Вы должны ограничить его только доверенным доменом.
Если вы являетесь хостом обоих доменов, то обычным делом является включение этого типа запросов.
Это не то, что делает запрос OPTIONS, это браузер, основанный на запросе!
Narretz - вызов API через браузер не вызывает этой ошибки и не вызывает вызов дополнительных опций. Когда используется угловой, это делает.
Нарретц прав, это не связано с угловым. Это связано с тем, как работает CORS.
но через несколько секунд все остальные коды запускаются, а затем инициализируются.
Это похоже на ошибку, которая произойдет в любом приложении структуры сущностей, если вы не завершите запрос. На самом деле не связано с CORS или вопросом ОП.
Вполне возможно, что он не связан с CORS, но выдает ошибку, которая звучит так, как будто она имеет отношение к CORS; отсюда мой ответ.
Ссылка для ответа @ NizarBsb находится здесь. На запрашиваемом ресурсе отсутствует заголовок «Access-Control-Allow-Origin». Происхождение «…» поэтому не допускается
Это большой риск для безопасности!
@ stephan-weinhold на случай, если вы действительно очистите параметры URL. будет ли это все еще представлять угрозу безопасности? Зачем?
В вашем случае, разве отправка заголовка ответа Vary: Origin не достигла такого же эффекта? stackoverflow.com/questions/46063304/...
Да, но мы не делаем. Служба, доступная миру, может быть DOS'а через взлом кеша путем отправки поддельных значений. Akamai имеет некоторую помощь в этой области, чтобы уменьшить воздействие DOS. Я хочу сказать, что вы можете делать все, что перечислено, и все еще иметь проблемы из-за кеширования.
В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
@Quentin Вы так правы! однако, это хит № 1 для многих поисков по этой теме, уже есть множество ответов, которые отличаются от точного вопроса, но дают полезную информацию И это было то, что мы обнаружили 7 сентября после исчерпания всех потоков. Я ценю ваше отрицательное мнение. Будущие читатели также смогут оценить, был ли этот «не ответ» полезным при голосовании, возможно, даже не так, как вы. Есть по крайней мере еще один человек, который уже публично не согласился с вашим мнением. Будет интересно посмотреть, как отсюда идет голосование ........
Отличный ответ, но если скрипт не в правильном формате, вы не можете получить его код (script.text = empty). Что делать в этом случае? Как добраться до его кода?
Как предотвратить выполнение скрипта (может быть, как все это прокомментировать)?
И еще одна интересная вещь: только IE11 с включенным «Доступ к источникам данных через домены» может получить доступ к междоменному домену (без необходимости управлять сервером для модификации Origin!). Все остальные основные браузеры не могут
В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
У меня есть локальный сайт IIS, на котором размещен мой API. У меня есть внешний сайт, доступ к которому осуществляется за пределами локальной сети. Я пытаюсь выполнить API с внешнего сайта, у меня включен CORS для внешнего сайта (например, [EnableCors(origins: "http://websitelink.com", headers: "*", methods: "*")] но это не работает. Любая идея? forums.asp.net/p/2117965/…
В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
Я использую AngularJS и Spring на локальном хосте (разные порты), и у меня была та же проблема, добавление @CrossOrigin (origins = "*"), как указано ниже, решило ее.
В вопросе говорится: «Я знаю, что API или удаленный ресурс должен устанавливать заголовок, но почему он работал, когда я делал запрос через расширение Chrome Postman?». Это не ответ на вопрос, который был задан.
@ Сону хм ... ПОСТ, с JSONP? что? это не имеет никакого смысла.
@KevinB Когда вы используете JSONP, $ .ajax будет игнорировать тип, поэтому это всегда GET, что означает, что этот ответ всегда будет работать.
Конечно, это будет работать, но это не имеет смысла. исправить обе проблемы.

MD. Sahib Bin Mahboob · Accepted Answer · 2013-11-17T21-19-00.000Z

1054

Лучший ответ

Если я правильно понял, вы делаете XMLHttpRequest в другой домен, чем ваша страница. Таким образом, браузер блокирует его, поскольку он обычно разрешает запрос в том же самом источнике по соображениям безопасности. Вам нужно сделать что-то другое, если вы хотите выполнить кросс-доменный запрос. Учебник о том, как достичь этого, Использование CORS.

Когда вы используете почтальон, они не ограничены этой политикой. Цитируется из Cross-Origin XMLHttpRequest:

Обычные веб-страницы могут использовать объект XMLHttpRequest для отправки и получения данных с удаленных серверов, но они ограничены одной и той же политикой происхождения. Расширения не так ограничены. Расширение может разговаривать с удаленными серверами за пределами его происхождения, если оно сначала запрашивает разрешения перекрестного происхождения.

MD. Sahib Bin Mahboob 17 нояб. 2013, в 21:19

5

Ты прав. Я делаю запрос на другой домен, чем моя страница. API находится на сервере, и я запускаю запрос от localhost. Прежде чем я приму ответ, вы можете объяснить, что означает «выполнение запроса напрямую»? POSTMAN не используете домен?
Mr Jedi 17 нояб. 2013, в 19:54
151

Браузер не блокирует запрос. Единственные браузеры, которые напрямую блокируют запросы кросс-исходных ajax, - это IE7 или старше. Все браузеры, кроме IE7 и более старых, реализуют спецификацию CORS (IE8 и IE9 частично). Все, что вам нужно сделать, это подписаться на запросы CORS на вашем сервере API, возвращая соответствующие заголовки на основе запроса. Вы должны прочитать о концепциях CORS на mzl.la/VOFrSz . Почтальон также отправляет запросы через XHR. Если вы не видите ту же проблему при использовании почтальона, это означает, что вы неосознанно не отправляете тот же запрос через почтальона.
Ray Nicholus 17 нояб. 2013, в 20:01
8

@ MD.SahibBinMahboob Почтальон НЕ отправляет запрос "из вашего кода Java / Python". Это отправка запроса прямо из браузера. XHR в расширениях Chrome работает немного по-другому, особенно когда задействованы перекрестные запросы .
Ray Nicholus 17 нояб. 2013, в 20:08
0

Я делаю запрос от моего браузера к конечной точке Api и получаю ошибку «Нет заголовка« Access-Control-Allow-Origin »...». Но если я сделаю тот же запрос с другого сервера, чем Enpoint через php (curl), это сработает. На самом деле не должны быть оба не работают? Какая разница? У кого-нибудь есть идеи?
Yves 05 авг. 2015, в 08:55
9

@yves - это браузер, который наложил правило. Так что инициирующий запрос из любого места, а не из браузера должен работать файл
MD. Sahib Bin Mahboob 05 авг. 2015, в 12:54
0

@ MD.SahibBinMahboob Как может помочь CORS , если в сообщении об ошибке указано: No 'Access-Control-Allow-Origin' header is present on the requested resource. ?
Suhail Gupta 10 фев. 2016, в 06:42
1

@SuhailGupta, если вы разрешите происхождение на вашем сервере, вам будет разрешено выполнить запрос, который на самом деле известен как CORS.
MD. Sahib Bin Mahboob 29 фев. 2016, в 05:07
0

некоторые сайты, такие как awardspace, ограничивают, другие, как GitHub, не ограничивают.
Leo Gurdian 31 июль 2016, в 04:59
0

@GilsonGilbert, OP пытается выполнить этот запрос со стороны браузера. Вы предлагаете использовать сервер OP для использования в качестве прокси?
MD. Sahib Bin Mahboob 06 дек. 2016, в 10:45
0

forums.asp.net/p/2117965/… У меня есть открытый вопрос, если я могу попросить, чтобы получить некоторую помощь по ...
Si8 24 март 2017, в 14:10
0

Для людей, которые приходят на эту страницу через поисковую систему: если вы отправляете запрос на той же странице, позаботьтесь о сохранении одного и того же протокола (например, страница, загруженная в http, и запрос Ajax по https).
Dunatotatos 28 апр. 2017, в 08:18
0

Даже по тому же адресу вы получите эту ошибку. 127.0.0.1:8081/TRMSServlet/Login : На запрошенном ресурсе отсутствует заголовок «Access-Control-Allow-Origin». Origin ' 127.0.0.1:5500
Philip Rego 29 дек. 2017, в 21:30
0

Я хотел бы добавить: для меня несколько раз (работа в C # ASP.NET Web API в первый раз, а затем на Node) решение состояло в том, чтобы изменить материал на стороне сервера. В C # это было добавить некоторый атрибут [enable-CORS], в то время как на Node это было установить модуль cors для экспресс
information_interchange 25 март 2018, в 01:13
0

При тестировании на моей локальной машине я заменил localhost своим локальным IP . Это сработало. Чтобы использовать localhost , мне нужно было получить CORS с помощью следующей строки кода request.withCredentials = true; где request является экземпляром XMLHttpRequest .
Koushik Shom Choudhury 16 апр. 2018, в 06:54

Показать ещё 12 комментариев