SOAP 请求的问题。 '访问控制允许来源'答案

【问题标题】：Problems with SOAP request. 'Access-Control-Allow-Origin'SOAP 请求的问题。 '访问控制允许来源'
【发布时间】：2017-11-11 15:09:48
【问题描述】：

我在发送 SOAP 请求时遇到问题。我已经研究了这个主题，并在这里和其他地方看到了很多关于这个主题的帖子，但没有任何一个对我有用或真正解决我遇到的问题。为了更具体地说明我正在尝试做什么，我正在尝试访问 BrightSign 网络上的 API。文档的链接是here。我尝试通过 html 页面上的 javascript 函数运行我的请求，但没有成功。我每次都收到“没有'Access-Control-Allow-Origin'”错误。我安装了一个附加组件，我认为它可以绕过这个问题，虽然我没有收到 Access-Control-Allow-Origin 错误，但我收到了 200 代码错误。我最大的问题是我已经下载了 SoapUI 并通过那里运行了一个请求。这样做时，我收到了预期的回复！我尝试将原始 XML 从 SoapUI 复制并粘贴到我的测试页面中，但无济于事。我每次都会遇到同样的错误。对此的任何帮助将不胜感激。

谢谢

这是我正在使用的页面代码：

function soap(){
            var xmlhttp = new XMLHttpRequest();
            xmlhttp.open('POST', 'https://api.brightsignnetwork.com/2014/12/SOAP/Basic/', true);

            // build SOAP request
            var sr =
                '<soapenv:Envelope xmlns:soap="https://api.brightsignnetwork.com/2014/12/SOAP/" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">' +
                    '<soapenv:Header>' +
                        '<wsse:Security soapenv:mustUnderstand="1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">' +
                            '<wsse:UsernameToken wsu:Id="UsernameToken-541861B587A894A0A714970165483407">' +
                                '<wsse:Username></wsse:Username>' +
                                '<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText"></wsse:Password>' +
                                '<wsse:Nonce EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary">tlWiCWeD9E8JEaY00RfAhA==</wsse:Nonce>' +
                                '<wsu:Created>2017-06-09T13:55:48.340Z</wsu:Created>' +
                            '</wsse:UsernameToken>' +
                        '</wsse:Security>' +
                    '</soapenv:Header>' +
                    '<soapenv:Body>' +
                        '<soap:GetDynamicPlaylistByName>' +
                            '<soap:name></soap:name>' +
                            '<soap:loadContent></soap:loadContent>' +
                        '</soap:GetDynamicPlaylistByName>' +
                    '</soapenv:Body>' +
                '</soapenv:Envelope>';

        xmlhttp.onreadystatechange = function () {
            if (xmlhttp.readyState == 4) {
                if (xmlhttp.status == 200) {
                    alert('REQUEST SENT. CHECK FOR RESPONSE.');
                }
            }
        }

        // Send the POST request
        xmlhttp.setRequestHeader('Content-Type', 'text/xml');
        xmlhttp.setRequestHeader('Authentication-Type', 'Preemptive');
        xmlhttp.send(sr);
        }

【问题讨论】：

我认为你需要搜索CORS。
SOAP 要求您在标头中发送 Content-Length（消息内容的大小，以字节为单位）和其他几个值。
@WilliamWalseth 我尝试设置一些标头，例如 Content-Length 和 xmlhttp.setRequestHeader('Content-Length', 1220)。这给了我一个额外的错误'拒绝设置不安全的标题“Content-Length”'

标签： javascript xml http cors xmlhttprequest

【解决方案1】：

http://docs.brightsign.biz/display/DOC/BSN+API 上的 BrightSign 网络 API 文档没有表明该 API 旨在用于在浏览器中运行的前端 JavaScript 代码。

鉴于此，他们似乎没有在来自其 API 端点的响应中包含 Access-Control-Allow-Origin 响应标头，因此您的浏览器将不允许您的前端 JavaScript 代码访问响应。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS 解释了这里发生的事情，但要点是浏览器确实按预期获得了响应——如果您查看浏览器开发工具的“网络”选项卡，您可以在那里检查响应。

但是仅仅因为浏览器有响应并不意味着它会将响应暴露给您的前端 JavaScript 代码。如果响应包含Access-Control-Allow-Origin 响应标头，浏览器只会将来自跨域请求的响应暴露给前端代码。

由于 BrightSign 网络 API 不发送该响应标头，因此您将无法直接从前端代码使用该 API，而是需要从后端代码发出请求或设置某种代理并通过它发出请求。

"No 'Access-Control-Allow-Origin' header is present on the requested resource" 的答案告诉您如何设置一个特殊的 CORS 代理，您的前端代码可以通过该代理发出请求。

【讨论】：

谢谢！这非常有帮助，也将我推向了正确的方向，以进一步了解这一切是如何运作的。代理服务器解决方案效果很好。此外，在设置代理后，我遇到了 ws-security 的问题。此页面here 为我提供了有关该主题的更多信息，并引导我解决了我的问题。把它留给以后可能遇到类似问题的其他人。