CORS 预检请求返回“403 Forbidden”；随后的请求，然后仅在 Chrome 中发送

Question

在this question 中使用pluploader 失败后，我现在正在尝试FineUploader。

阅读 CORS 后，我在我的 IIS6 服务器上实现了各种标头。

似乎发生的事情是我的脚本触发了第一个 (preflight) 授权请求，但失败了，但 Chrome 允许第二个 (standard) 请求发送 - Firefox 不允许。我认为这实际上是 Chrome 的一个错误，但至少它使我能够确定我的脚本可能正常工作。

这是在 Chrome 和 FF 中看到的第一个（预检）请求：

OPTIONS /frog/LOTS/upload/php.php HTTP/1.1
Host: staff.curriculum.local
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:14.0) Gecko/20100101 Firefox/14.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Origin: http://frogserver.curriculum.local
Access-Control-Request-Method: POST
Access-Control-Request-Headers: cache-control,x-requested-with
Pragma: no-cache
Cache-Control: no-cache

Access-Control... 标头是我添加到 IIS 中的标头。

这是我的响应标头：

HTTP/1.1 403 Forbidden
Content-Length: 1758
Content-Type: text/html
Server: Microsoft-IIS/6.0
x-powered-by: ASP.NET
Access-Control-Allow-Origin: http://frogserver.curriculum.local
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Cache-Control
Access-Control-Allow-Methods: OPTIONS, GET, POST
Access-Control-Expose-Headers: Origin, X-Requested-With
Date: Mon, 22 Apr 2013 15:19:20 GMT

我尝试并排比较这两者，但找不到任何会导致 preflight 请求返回 403 Forbidden 错误的标头。

我没有包含我的 PHP 源代码，因为它有很多代码。可以说它确实在 Chrome 中工作并且文件已正确上传，因此脚本应该是正确的。唯一值得一提的是，我的脚本开头有一个header("Content-Type: text/plain");。将其更改为 text/html 对 Chrome 和 FireFox 没有任何影响。

JavaScript 非常简单：

$('#jquery-wrapped-fine-uploader').fineUploader({
    request: {
        endpoint: 'http://staff.curriculum.local/frog/LOTS/upload/php.php'
    },
    cors: {
        expected: true, //all requests are expected to be cross-domain requests
        sendCredentials: true //if you want cookies to be sent along with the request
    }
});

有人可以帮忙吗？我今天在这个问题上花了 8 个小时，我 >

提前致谢，

Answer 1

我花了一个星期，但我终于找到了问题。

默认情况下，IIS6 不支持 .php 文件上的 OPTIONS 动词（或 .asp(x)）。

因此，它根本无法识别 OPTIONS 预检调用。

要在 IIS6 中更改此值，请按以下步骤操作：

1. 在 IIS 管理器中，转到您的根网站目录。右键单击它并选择“属性”
2. 转到主目录选项卡，然后选择底部的“配置”按钮
3. 找到您尝试与之通信的脚本的相关文件扩展名，例如 .php 或 .asp 并单击“编辑”
4. 将OPTIONS 添加到可用动词列表中（现在应该显示类似REQUEST, GET, POST, OPTIONS 的内容）
5. 将以下代码添加到您的 PHP 脚本以确定来自 IE 的响应

如果我的 PHP 脚本中没有以下代码，我无法让 Internet Explorer 正常工作：

/* Is the request from Internet Explorer? */
if( !isset( $_SERVER['HTTP_X_REQUESTED_WITH'] )
    || ( isset($_SERVER['HTTP_X_REQUESTED_WITH']) && $_SERVER['HTTP_X_REQUESTED_WITH'] != "XMLHttpRequest" ) ) {

    /* If so, we need to send a UUID and iframe XSS response script... */
    header("Content-Type: text/html");

    /* This needs some extra security, for sure */
    if( $result["success"] == "true" )
        $result["uuid"] = $_POST["qquuid"];

    echo htmlspecialchars(json_encode($result), ENT_NOQUOTES);
    echo "<script src='iframe.xss.response-3.4.1.js'></script>";
} else {
    /* Otherwise, we can just echo the json'd result */
    echo htmlspecialchars(json_encode($result), ENT_NOQUOTES);
}

我给了 Ray Nicholus 50 分的赏金，虽然我没有发现他的举止特别有帮助，但他一直都是对的。但是，出于其他人查看此帖子时遇到类似问题的目的，我会将我的答案标记为正确。

Answer 2

正如我在 cmets 中提到的，这似乎是您的服务器的问题。出于某种原因，它拒绝了最初的 OPTIONS 请求。您将需要查看您的服务器日志，以了解您的服务器为何使用 403 响应此请求。

用户代理发送此初始 OPTIONS（飞行前）请求。 Fine Uploader 不直接发送这个请求，用户代理发送它是为了符合the CORS spec。如果您有关于 CORS 的具体问题，可以查看 my blog post 了解 Fine Uploader 如何处理 CORS，或/和阅读 this excellent MDN article on CORS。