Ошибка XmlHttpRequest: нулевой источник не разрешен Access-Control-Allow-Origin

Question

Ошибка XmlHttpRequest: нулевой источник не разрешен Access-Control-Allow-Origin

479

Я разрабатываю страницу, которая извлекает изображения из Flickr и Panoramio через поддержку jQuery AJAX.

Сторона Flickr работает нормально, но когда я пытаюсь $.get(url, callback) из Panoramio, я вижу ошибку в консоли Chrome:

XMLHttpRequest не может загрузить http://www.panoramio.com/wapi/data/get_photos?v=1&key=dummykey&tag=test&offset=0&length=20&callback=processImages&minx=-30&miny=0&maxx=0&maxy=150. Происхождение null не допускается через Access-Control-Allow-Origin.

Если я запрашиваю этот URL из браузера напрямую, он отлично работает. Что происходит, и могу ли я обойти это? Я неправильно сочиняю свой запрос или это то, что Panoramio делает для того, чтобы помешать тому, что я пытаюсь сделать?

Google не показывал никаких полезных совпадений в сообщении .

ИЗМЕНИТЬ

Вот пример кода, который показывает проблему:

$().ready(function () {
  var url = 'http://www.panoramio.com/wapi/data/get_photos?v=1&key=dummykey&tag=test&offset=0&length=20&callback=processImages&minx=-30&miny=0&maxx=0&maxy=150';

  $.get(url, function (jsonp) {
    var processImages = function (data) {
      alert('ok');
    };

    eval(jsonp);
  });
});

Вы можете запустить пример в Интернете.

РЕДАКТИРОВАТЬ 2

Спасибо Дарину за его помощь в этом. ВЫШЕПРОВОДНЫЙ КОД НЕПРАВИЛЬНО. Используйте это вместо:

$().ready(function () {
  var url = 'http://www.panoramio.com/wapi/data/get_photos?v=1&key=dummykey&tag=test&offset=0&length=20&minx=-30&miny=0&maxx=0&maxy=150&callback=?';

  $.get(url, function (data) {
    // can use 'data' in here...
  });
});

Drew Noakes 29 авг. 2010, в 15:33

Источник

1

Что означает URL выглядеть , что вы делаете запрос от? Например, это не динамически генерируемый iframe который вы iframe document.write ?
Pekka 웃 29 авг. 2010, в 16:15
5

Можете ли вы опубликовать HTTP-ответ от запроса к каждой службе. Бьюсь об заклад, Panoramio не обслуживает Access-Control-Allow-Origin. См. W3.org/TR/cors для примеров.
Kevin Hakanson 29 авг. 2010, в 16:16
2

@Kevin, вам не нужны эти заголовки, если сервер отправляет JSONP.
Darin Dimitrov 29 авг. 2010, в 16:17
0

@Pekka, я запускаю страницу со своего локального компьютера в данный момент ( file:///C:/ ). Никакой iframe не вовлечен.
Drew Noakes 29 авг. 2010, в 16:22
1

@ Что случилось, если запустить его с http-адреса? Это не должно иметь никакого значения, а просто исключает возможность.
Pekka 웃 29 авг. 2010, в 16:23
0

@Pekka, я запускал его из jsFiddle и имел ту же проблему (ссылка в обновленном вопросе!)
Drew Noakes 29 авг. 2010, в 16:50
0

Существует jsonp.jit.su , это бесплатный прокси- сервер JSON «Включает междоменные запросы к любому JSON API». И это на Github github.com/afeld/jsonp
Joël 14 май 2014, в 18:57

Показать ещё 5 комментариев

Теги:

javascript

jquery

xmlhttprequest

cors

jsonp

16 ответов

76

Вам нужно добавить HEADER в ваш вызываемый script, вот что мне нужно было сделать в PHP:

header('Access-Control-Allow-Origin: *');

Подробнее в Перекрестный домен AJAX ou services WEB (на французском языке).

Thomas Decaux 11 фев. 2011, в 12:09

13

Как это сделать на обычном HTML-файле (без php)?
Uri 02 апр. 2011, в 11:45
1

@Uri: Зависит от вашего HTTP-сервера. С Apache вам захочется заглянуть в mod_headers.
ssokolow 08 апр. 2011, в 00:37
4

@Uri <meta http-экв = "Access-Control-Allow-Origin" content = "*">
Herberth Amaral 14 янв. 2012, в 21:14
7

@HerberthAmaral Я пытался добавить это внутри <head> </ head>, но у меня это не работает. Я пытаюсь сделать это в iOS Safari и Chrome, но в консоли я получаю нулевое значение origin, что не допускается ошибкой Access-Control-Allow-Origin.
thandasoru 02 апр. 2012, в 06:08
3

По соображениям безопасности он не работает в заголовке html-файла. Это должен быть заголовок. stackoverflow.com/questions/7015782/...
Justin Blank 02 сен. 2012, в 19:23
0

Этого не может быть в HTML. Это должно быть указано программой, которая отправляет HTML-страницу в ваш браузер по сети (так называемый веб-сервер).
Roman Plášil 10 янв. 2017, в 10:33

Показать ещё 4 комментария

66

Для простого проекта HTML:

cd project
python -m SimpleHTTPServer 8000

Затем просмотрите файл.

CodeGroover 07 март 2012, в 16:19

1

пока это здорово и работает, когда вы переходите на 0.0.0.0:8000 и пробуете POST запросы, вы получаете: code 501, message Unsupported method ('POST') для Google.
pjammer 03 июль 2013, в 22:12
0

«Когда веб-сервер Python (например, cherrypy) говорит, что он работает на 0.0.0.0, это означает, что он прослушивает весь TCP-трафик, который заканчивается на этом компьютере, независимо от имени хоста или IP-адреса, который был запрошен». Поэтому, возможно, попробуйте опубликовать на localhost: 8000 stackoverflow.com/a/4341808/102022
ecounysis 28 май 2014, в 22:39
0

Я попробовал это, но получил ту же ошибку, что и раньше.
GreySage 08 фев. 2017, в 22:15

Показать ещё 1 комментарий

19

Работает для меня в Google Chrome v5.0.375.127 (я получаю предупреждение):

$.get('http://www.panoramio.com/wapi/data/get_photos?v=1&key=dummykey&tag=test&offset=0&length=20&callback=?&minx=-30&miny=0&maxx=0&maxy=150',
function(json) {
    alert(json.photos[1].photoUrl);
});

Также я рекомендовал бы использовать метод $.getJSON(), поскольку предыдущий не работает на IE8 (по крайней мере, на моей машине)

$.getJSON('http://www.panoramio.com/wapi/data/get_photos?v=1&key=dummykey&tag=test&offset=0&length=20&callback=?&minx=-30&miny=0&maxx=0&maxy=150', 
function(json) {
    alert(json.photos[1].photoUrl);
});

Вы можете попробовать онлайн здесь.

UPDATE:

Теперь, когда вы показали свой код, я вижу проблему с ним. У вас есть анонимная функция и встроенная функция, но оба они будут называться processImages. Это работает поддержка JQuery JSONP. Обратите внимание, как я определяю callback=?, чтобы вы могли использовать анонимную функцию. Вы можете прочитать об этом в документации.

Еще одно замечание: вы не должны называть eval. Параметр, переданный вашей анонимной функции, уже будет разбираться в JSON с помощью jQuery.

Darin Dimitrov 29 авг. 2010, в 18:07

0

Хм хорошо, позвольте мне попробовать еще раз. Я на другой версии Chrome, кстати, "6.0.472.51 бета".
Drew Noakes 29 авг. 2010, в 16:23
0

Ваш код работал для меня. Я обновил свой вопрос с помощью кода, который решает проблему, хотя.
Drew Noakes 29 авг. 2010, в 16:26
0

Спасибо за совет re getJSON ... Я разобрал ваш пример jsFiddle, чтобы показать проблему ( jsfiddle.net/ZfvKm ), и теперь вижу сообщение об ошибке XMLHttpRequest не может загрузить Panoramio.com/wapi/data/… . Происхождение fiddle.jshell.net не разрешено Access-Control-Allow-Origin.
Drew Noakes 29 авг. 2010, в 16:31
0

@ Darin, спасибо за обновление. Я понимаю вашу точку зрения, и я играл с несколькими комбинациями этого, но мне еще предстоит найти способ получить доступ к возвращенному объекту. Не могли бы вы обновить пример jsFiddle, чтобы показать доступ к данным? Если вы установите обратный вызов ? затем возвращаемый JSON заключен в круглые скобки. Вы не определяете параметр для своей функции обратного вызова, и значение this , похоже, не имеет объекта ответа (по крайней мере, значение .data равно null ).
Drew Noakes 29 авг. 2010, в 16:49
0

@Drew, пример обновлен: jsfiddle.net/ZfvKm/2, а также мой пост.
Darin Dimitrov 29 авг. 2010, в 16:55
0

@ Darin, потрясающе. Большое спасибо. Работает хорошо сейчас. Для тех, кто читает это, включение callback=? сообщает jQuery о том, что следует генерировать случайное имя функции внутри себя, что приводит к вызову анонимной функции, передаваемой в .getJSON . Оценил.
Drew Noakes 29 авг. 2010, в 17:00

Показать ещё 4 комментария

8

Пока запрашиваемый сервер поддерживает формат данных JSON, используйте интерфейс JSONP (JSON Padding). Это позволяет вам делать запросы внешнего домена без прокси-серверов или причудливых заголовков.

Cheng Chen 06 май 2011, в 18:08

5

Мы справились с ней через файл http.conf (отредактировали и перезапустили службу HTTP):

<Directory "/home/the directory_where_your_serverside_pages_is">
    Header set Access-Control-Allow-Origin "*"
    AllowOverride all
    Order allow,deny
    Allow from all
</Directory>

В Header set Access-Control-Allow-Origin "*" вы можете указать точный URL.

romu31 29 июль 2011, в 19:41

1

это не работает на Apache XAMPP. проблема все еще существует.
Raptor 06 май 2013, в 09:47
1

Это небезопасно. Смотрите здесь, почему; stackoverflow.com/questions/7564832/...
Rob Quist 26 фев. 2014, в 21:09
0

Это небезопасно, как сказал @RobQuist.
deepbchudasama 03 янв. 2019, в 07:04

Показать ещё 1 комментарий

4

Если вы выполняете локальное тестирование или вызываете файл с чего-то вроде file://, вам необходимо отключить защиту браузера.

В MAC: open -a Google\ Chrome --args --disable-web-security

user2701060 20 авг. 2013, в 20:11

4

Это та же самая политика происхождения, вы должны использовать интерфейс JSON-P или прокси-сервер, работающий на том же хосте.

Quentin 29 авг. 2010, в 17:23

2

panoramio уже отправляет JSONP.
Darin Dimitrov 29 авг. 2010, в 16:16

3

В моем случае тот же код отлично работал на Firefox, но не в Google Chrome. Google Chrome консоль Google сказал:

XMLHttpRequest cannot load http://www.xyz.com/getZipInfo.php?zip=11234. 
Origin http://xyz.com is not allowed by Access-Control-Allow-Origin.
Refused to get unsafe header "X-JSON"

Мне пришлось отказаться от www-части URL-адреса Ajax, чтобы он правильно соответствовал исходному URL-адресу, и тогда он работал нормально.

Kalpesh Patel 03 янв. 2012, в 19:18

2

Не все серверы поддерживают jsonp. Это требует, чтобы сервер установил в нем функцию обратного вызова. Я использую это, чтобы получить ответы json от сайтов, которые возвращают чистый json, но не поддерживают jsonp:

function AjaxFeed(){

    return $.ajax({
        url:            'http://somesite.com/somejsonfile.php',
        data:           {something: true},
        dataType:       'jsonp',

        /* Very important */
        contentType:    'application/json',
    });
}

function GetData() {
    AjaxFeed()

    /* Everything worked okay. Hooray */
    .done(function(data){
        return data;
    })

    /* Okay jQuery is stupid manually fix things */
    .fail(function(jqXHR) {

        /* Build HTML and update */
        var data = jQuery.parseJSON(jqXHR.responseText);

        return data;
    });
}

mAsT3RpEE 19 окт. 2013, в 14:11

1

Как окончательная заметка документация Mozilla явно говорит, что

Приведенный выше пример завершился неудачей, если заголовок был подстановочным знаком: Access-Control-Allow-Origin: *. Так как Access-Control-Allow-Origin явно упоминает http://foo.example, содержимое учетно-зависимой информации возвращается в вызывающий веб-сайт содержание.

Как следствие, это не просто плохая практика использования "*". Просто не работает:)

user2688838 16 авг. 2013, в 10:23

1

Я использую сервер Apache, поэтому я использовал модуль mod_proxy. Включить модули:

LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so

Затем добавьте:

ProxyPass /your-proxy-url/ http://service-url:serviceport/

Наконец, передайте прокси-url на ваш script.

zenio 02 апр. 2012, в 13:25

0

Люди,

У меня возникла аналогичная проблема. Но, используя Fiddler, я смог понять эту проблему. Проблема заключается в том, что URL-адрес клиента, который настроен в реализации CORS на стороне веб-API, не должен иметь завершающего косая черта. После отправки запроса через Google Chrome и ознакомьтесь с вкладкой TextView раздела Заголовки Fiddler, в сообщении об ошибке будет указано примерно следующее:

* "Указанное политическое происхождение your_client_url:/'недействительно. Он не может закончиться косой чертой."

Это настоящая причуда, потому что она работала без каких-либо проблем в Internet Explorer, но при тестировании с использованием Google Chrome у меня была головная боль.

Я удалил косую черту в коде CORS и перекомпилировал веб-API, и теперь API доступен через Chrome и Internet Explorer без каких-либо проблем. Пожалуйста, сделайте это.

Спасибо, Andy

andymenon 21 авг. 2014, в 06:59

0

Убедитесь, что вы используете последнюю версию JQuery. Мы столкнулись с этой ошибкой для JQuery 1.10.2, и ошибка была решена после использования JQuery 1.11.1

Ganesh Kamath - 'Code Frenzy' 10 июль 2014, в 06:48

0

Я также получил ту же ошибку в Chrome (я не тестировал других броузеров). Это было связано с тем, что я перешел на domain.com вместо www.domain.com. Немного странно, но я мог бы решить проблему, добавив следующие строки в .htaccess. Он перенаправляет domain.com на www.domain.com, и проблема решена. Я ленивый веб-посетитель, поэтому я почти никогда не набираю www, но, по-видимому, в некоторых случаях это требуется.

RewriteEngine on
RewriteCond %{HTTP_HOST} ^domain\.com$ [NC]
RewriteRule ^(.*)$ http://www.domain.com/$1 [R=301,L]

mslembro 30 сен. 2013, в 09:04

0

Существует небольшая проблема в решении, опубликованном CodeGroover выше, где, если вы меняете файл, вам придется перезапустить сервер, чтобы фактически использовать обновленный файл (по крайней мере, в моем случае).

Поэтому, немного поискав, я нашел это:

sudo npm -g install simple-http-server # to install
nserver # to use

И тогда он будет работать на http://localhost:8000.

MiJyn 07 июнь 2013, в 00:30

1

Хотя эта ссылка может ответить на вопрос, лучше включить здесь основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными в случае изменения связанной страницы. - Из обзора
Vi100 02 май 2018, в 09:48
0

Уточнил ссылку.
MiJyn 05 май 2018, в 23:25

Ещё вопросы

Что означает URL выглядеть , что вы делаете запрос от? Например, это не динамически генерируемый iframe который вы iframe document.write ?
Можете ли вы опубликовать HTTP-ответ от запроса к каждой службе. Бьюсь об заклад, Panoramio не обслуживает Access-Control-Allow-Origin. См. W3.org/TR/cors для примеров.
@Kevin, вам не нужны эти заголовки, если сервер отправляет JSONP.
@Pekka, я запускаю страницу со своего локального компьютера в данный момент ( file:///C:/ ). Никакой iframe не вовлечен.
@ Что случилось, если запустить его с http-адреса? Это не должно иметь никакого значения, а просто исключает возможность.
@Pekka, я запускал его из jsFiddle и имел ту же проблему (ссылка в обновленном вопросе!)
Существует jsonp.jit.su , это бесплатный прокси- сервер JSON «Включает междоменные запросы к любому JSON API». И это на Github github.com/afeld/jsonp
Как это сделать на обычном HTML-файле (без php)?
@Uri: Зависит от вашего HTTP-сервера. С Apache вам захочется заглянуть в mod_headers.
@Uri <meta http-экв = "Access-Control-Allow-Origin" content = "*">
@HerberthAmaral Я пытался добавить это внутри <head> </ head>, но у меня это не работает. Я пытаюсь сделать это в iOS Safari и Chrome, но в консоли я получаю нулевое значение origin, что не допускается ошибкой Access-Control-Allow-Origin.
По соображениям безопасности он не работает в заголовке html-файла. Это должен быть заголовок. stackoverflow.com/questions/7015782/...
Этого не может быть в HTML. Это должно быть указано программой, которая отправляет HTML-страницу в ваш браузер по сети (так называемый веб-сервер).
пока это здорово и работает, когда вы переходите на 0.0.0.0:8000 и пробуете POST запросы, вы получаете: code 501, message Unsupported method ('POST') для Google.
«Когда веб-сервер Python (например, cherrypy) говорит, что он работает на 0.0.0.0, это означает, что он прослушивает весь TCP-трафик, который заканчивается на этом компьютере, независимо от имени хоста или IP-адреса, который был запрошен». Поэтому, возможно, попробуйте опубликовать на localhost: 8000 stackoverflow.com/a/4341808/102022
Я попробовал это, но получил ту же ошибку, что и раньше.
Хм хорошо, позвольте мне попробовать еще раз. Я на другой версии Chrome, кстати, "6.0.472.51 бета".
Ваш код работал для меня. Я обновил свой вопрос с помощью кода, который решает проблему, хотя.
Спасибо за совет re getJSON ... Я разобрал ваш пример jsFiddle, чтобы показать проблему ( jsfiddle.net/ZfvKm ), и теперь вижу сообщение об ошибке XMLHttpRequest не может загрузить Panoramio.com/wapi/data/… . Происхождение fiddle.jshell.net не разрешено Access-Control-Allow-Origin.
@ Darin, спасибо за обновление. Я понимаю вашу точку зрения, и я играл с несколькими комбинациями этого, но мне еще предстоит найти способ получить доступ к возвращенному объекту. Не могли бы вы обновить пример jsFiddle, чтобы показать доступ к данным? Если вы установите обратный вызов ? затем возвращаемый JSON заключен в круглые скобки. Вы не определяете параметр для своей функции обратного вызова, и значение this , похоже, не имеет объекта ответа (по крайней мере, значение .data равно null ).
@Drew, пример обновлен: jsfiddle.net/ZfvKm/2, а также мой пост.
@ Darin, потрясающе. Большое спасибо. Работает хорошо сейчас. Для тех, кто читает это, включение callback=? сообщает jQuery о том, что следует генерировать случайное имя функции внутри себя, что приводит к вызову анонимной функции, передаваемой в .getJSON . Оценил.
это не работает на Apache XAMPP. проблема все еще существует.
Это небезопасно. Смотрите здесь, почему; stackoverflow.com/questions/7564832/...
Это небезопасно, как сказал @RobQuist.
Хотя эта ссылка может ответить на вопрос, лучше включить здесь основные части ответа и предоставить ссылку для справки. Ответы, содержащие только ссылки, могут стать недействительными в случае изменения связанной страницы. - Из обзора

ssokolow · Accepted Answer · 2010-09-19T07-45-00.000Z

427

Лучший ответ

Для записи, насколько я могу судить, у вас было две проблемы:

Вы не передавали спецификатор типа "jsonp" на ваш $.get, поэтому он использовал обычный XMLHttpRequest. Тем не менее, ваш браузер поддерживает CORS (совместное использование ресурсов Cross-Origin), чтобы разрешить междоменный XMLHttpRequest, если сервер одобрил его. Это где заголовок Access-Control-Allow-Origin.
Я полагаю, вы упомянули, что используете его из файла://URL. Для заголовков CORS есть два способа указать, что междоменный XHR в порядке. Один из них - отправить Access-Control-Allow-Origin: * (который, если вы дошли до Flickr через $.get, они, должно быть, делали), в то время как другой должен был отследить содержимое заголовка Origin. Однако file:// URL-адреса создают нуль Origin, который не может быть разрешен посредством эхо-возврата.

Первая была решена окольным путем Даринским предложением использовать $.getJSON. Для изменения типа запроса с его по умолчанию "json" на "jsonp" возникает небольшая магия, если он видит подстроку callback=? в URL-адресе.

Это решило второе, больше не пытаясь выполнить запрос CORS с URL file://.

Чтобы уточнить для других людей, выполните следующие простые инструкции по устранению неполадок:

Если вы пытаетесь использовать JSONP, убедитесь, что одно из следующего:
- Вы используете $.get и установите dataType на jsonp.
- Вы используете $.getJSON и включаете callback=? в URL.
Если вы пытаетесь выполнить междоменный XMLHttpRequest через CORS...
- Убедитесь, что вы тестируете через http://. Скрипты, запущенные через file://, имеют ограниченную поддержку CORS.
- Убедитесь, что браузер фактически поддерживает CORS. (Opera и Internet Explorer опаздывают на вечеринку)

ssokolow 19 сен. 2010, в 07:45

38

Так каково решение этого?
jQuerybeast 09 дек. 2011, в 21:04
18

Обратный вызов =? FTW
Tim 29 март 2012, в 09:10
9

Некоторые браузеры, такие как chrome, разрешают CORS, если они запускаются с параметром --allow-file-access-from-files
echox 12 июнь 2012, в 16:20
1

callback=? не работает для меня, но jsonp=? сделал. Есть какое-нибудь объяснение этому?
crunkchitis 28 июнь 2012, в 18:06
0

@crunkchitis: я не уверен, почему callback=? не работает для вас, учитывая, что текущие документы JQuery все еще говорят, что это должно, но, если я правильно их читаю, они также говорят, что anything_else=? тоже будет работать.
ssokolow 03 июль 2012, в 01:53
0

Благодарю. Я использовал общую функцию $ .ajax () и изменил dataType с json на jsonp .
styfle 09 июнь 2013, в 22:30
0

Chrome разрешает такой запрос от локальных файлов, просто запустите его с --disable-web-security
BeNdErR 07 июнь 2014, в 09:39
1

Нужно ли устанавливать веб-сервер для проверки через http:// ? Или есть способ просто открыть файл с использованием этого протокола?
Will Sewell 11 авг. 2014, в 15:55
0

@Fractal Попробуйте запустить python -m SimpleHTTPServer в папке с вашими файлами и затем открыть http: // localhost: 8000 / . Мои CORS-компоненты обычно используют Django или Bottle, которые имеют свои собственные серверы разработки, но, вероятно, должны работать. (Если этого не происходит, и вы знаете какой-либо язык Python, адаптировать пример Bottle 's Hello World просто.)
ssokolow 17 авг. 2014, в 08:46
0

Для записи, null является совершенно допустимым значением для Origin и действительно может быть возвращено в заголовке Access-Control-Allow-Origin . (См. Спецификацию Origin и CORS .)
Kevin Christopher Henry 19 янв. 2017, в 06:28
0

Из документации getJSON : это сокращенная Ajax-функция, которая эквивалентна: $.ajax({ dataType: "json", url: url, data: data, success: success }); Я не вижу, как это может быть эквивалентно $.get с dataType для jsonp и каков callback=? мог бы помочь здесь ...
Pere 03 апр. 2017, в 09:30
0

@Pere На странице, на которую вы ссылаетесь, написано: «Если URL содержит строку« callback =? »(Или аналогичную, как определено серверным API), запрос обрабатывается как JSONP. См. Обсуждение jsonp тип данных в $.ajax() для более подробной информации. "
ssokolow 04 апр. 2017, в 08:48
0

@ kevin-christopher-henry Я не думаю, что действительность null была под вопросом. Проблема заключается в том, что, согласно спецификации, браузеры демонстрируют поведение null != null .
ssokolow 17 май 2017, в 16:02
0

@ssokolow: По какой спецификации? Возможно, я что-то упускаю, но мне кажется, что спецификация CORS говорит о том, что алгоритм сопоставления применяется точно так же, как и с null : «Приведенный выше алгоритм также функционирует, когда сериализация ASCII источника является строка 'null'. "
Kevin Christopher Henry 17 май 2017, в 17:37
0

@KevinChristopherHenry Уже поздно, поэтому у меня нет времени отслеживать все экземпляры сейчас, но суть в том, что null является заполнителем, который используется, когда фактическое происхождение не проходит проверку, поэтому источник, который сериализуется в null не сравнивается равным null который был возвращен. Это проявляется в местах, подобных разделу 7.3 RFC 6454, который представляет собой RFC, связанный с «сериализацией ASCII» в документе, на который вы ссылались. Это поведение также применяется к перенаправлениям через шаг 6 «шагов перенаправления» в разделе 7.1.7 документа, на который вы ссылаетесь.
ssokolow 18 май 2017, в 04:44
0

@ssokolow: ссылки, на которые вы ссылались, касаются того, когда браузер должен установить источник в null ; они не решают вопрос о том, должно ли значение заголовка запроса Origin null соответствовать значению ответа Access-Control-Allow-Origin null при выполнении проверки CORS. Об этом говорится в разделе, который я цитировал, и в разделе 4.9 стандарта Fetch , в котором разъясняется, что они должны совпадать. (И я могу сказать вам по личному опыту, что они делают, хотя, конечно, я не могу доказать это для каждого браузера.)
Kevin Christopher Henry 19 май 2017, в 01:37
0

@KevinChristopherHenry В самом разделе, на который вы ссылались, говорится 2. If origin is null or failure, return failure. , что имеет смысл, потому что, если бы было возможно, чтобы две разные страницы, где оба источника сериализуются в null были аутентифицированы с помощью одной и той же авторизации не * CORS, это было бы огромной дырой в безопасности. Следовательно, как я изначально сказал, проявляется поведение null != null .
ssokolow 20 май 2017, в 03:06
0

@ssokolow: вы читали следующее предложение? «Примечание: ноль не 'null' . То есть при отсутствии значения заголовка возвращаемая ошибка; в противном случае, в том числе, когда значением является строка 'null' продолжайте. Когда вы это сделаете, будет совпадение, и проверка CORS пройдет. Кажется, нет смысла пытаться убедить вас, поэтому я просто оставлю это здесь как предупреждение для других.
Kevin Christopher Henry 23 май 2017, в 01:27
0

@KevinChristopherHenry Я согласен с этим, поскольку теперь я понимаю, что слишком большое значение придавал заглавной букве в примечании и слишком мало отсутствию обратных галочек на шаге 2, но это все еще не объясняет наблюдаемое поведение и Принцип, что два сайта, которые производят null Происхождение, не могут сравниться, потому что это открыло бы дыру в безопасности. Я могу только предположить, что где-то еще в лабиринте спецификаций он говорит браузерам сравнивать возвращаемый null с UUID / FQDN / и т. Д. используется для локального или конфиденциального происхождения, прежде чем они будут переведены в Origin: null для отправки.
ssokolow 23 май 2017, в 18:21

Показать ещё 17 комментариев