如何为客户端设置 CORS 标头

Question

我正在使用这个客户端

var client = new forcetk.Client();

提出请求。我正在尝试传递另一个 URL，但是

已被 CORS 政策阻止：请求的资源上不存在“Access-Control-Allow-Origin”标头。

出现错误。我可以为客户端设置任何标题吗？有没有办法在 XMLHttpRequest 调用中发出我的客户请求？任何帮助将非常感激。提前致谢。

这是我过于简化的代码

> forcetk.Client.prototype.createBlob = function (objtype, fields,
> filename, payloadField, payload, callback, error, retry) {
> 'use strict';
>         let res = this.blob('/' + this.apiVersion + '/sobjects/' + objtype + '/',
>                          fields, filename, payloadField, payload, callback, error, retry);
>         res.header("Access-Control-Allow-Origin", "*");
>         return res;
>     };

Answer 1

为了进行本地测试，您必须在服务器上启用 CORS，并将以下标头添加到来自服务器而不是客户端的响应中：

'Access-Control-Allow-Origin': '*'

生产设置将禁用 CORS，响应的标头如下所示：

'Access-Control-Allow-Origin': 'https://www.google.com'

将 Access-Control-Allow-Origin 设置为特定域并禁用 CORS 使得没有人可以在您的域之外调用您的 API，从而给您当前遇到的错误。

这是来自服务器的 JavaScript 响应示例

var response = {
 "isBase64Encoded": false,
 "headers": { 'Content-Type': 'application/json', 'Access-Control-Allow-Origin': '*'},
 "statusCode": 200,
 "body": "{\"result\": \"Success.\"}"
 };

例如，当 CORS 启用并且您从 localhost 调用服务器时，它将发送预检请求 https://developer.mozilla.org/en-US/docs/Glossary/Preflight_request。在过去，由于我没有意识到，这已经触发了对我的重复代码调用。就像在服务器端代码中检查空参数值一样简单。

Answer 2

CORS 标头应从后端发送。查看更多信息here。 您的请求来自的域应该在白名单中（在响应中）