CORS“允许凭据”Nodejs/Express

Question

我的项目在带有 Express 后端的 Node 上运行。

我正在尝试使用 Arangojs 查询我的 Arango 数据库客户端。 ArangoDB 在 Digital Ocean 上的 Docker 上运行。我在查询我的数据库服务器端没有问题，但是在页面加载时出现以下错误：

加载失败 http://0.0.0.0:8529/_db/database/_api/cursor：回复 预检请求未通过访问控制检查： 响应中的“Access-Control-Allow-Credentials”标头为“false” 当请求的凭证模式为“包含”时，它必须为“真”。 因此，Origin 'http://localhost:3000' 不允许访问。这 XMLHttpRequest 发起的请求的凭证模式是 由 withCredentials 属性控制。

我在客户端 js 上的代码如下所示：

var db = new arangojs.Database({url:'http://0.0.0.0:8529'})
db.useDatabase(dbase)
db.useBasicAuth("database", 'password')
db.query('FOR doc IN docs RETURN doc') // etc. etc.

编辑： 1 年后事后看来，这个问题非常愚蠢 - 正确答案是不要通过客户端 JS 公开您的数据库凭据...与您的后端通信，并拥有它与您的数据存储进行通信。

Answer 1

您正在配置 cors() 错误，您必须使用 credentials 属性才能配置 Access-Control-Allow-Credentials：

var cors = require('cors');
var corsOptions = {
    origin: '*',
    credentials: true };

app.use(cors(corsOptions));

除此之外，您的app.all(* ... 不是必需的，因为app.use(cors(corsOptions)); 已经为您处理了。

Answer 2

当您使用凭据配置 cors 时，您必须使用“受信任” URL 或一组“受信任” URL 设置 origin，每个 URL 都具有协议 + 域 + 端口。 origin : '*' 被阻止，因为对每个来源使用凭据过于宽松。这就像根本不使用凭据一样。