CORS:PHP:对预检请求的响应未通过。我允许起源

【问题标题】:CORS: PHP: Response to preflight request doesn't pass. Am allowing originCORS:PHP:对预检请求的响应未通过。我允许起源
【发布时间】:2022-01-23 02:13:32
【问题描述】:

所以我知道那里有很多 CORS 帖子,我只是在添加它们,但我找不到任何可以帮助我的答案。所以我正在构建一个依赖于我的 php api 的 angular 4 应用程序。在本地工作很好,当我使用app.example.com 的应用程序和api.example.com 的api 将它扔到域上时,我无法通过我的登录,因为我收到以下错误:

XMLHttpRequest 无法加载 http://api.example.com/Account/Login。 对预检请求的响应未通过访问控制检查:否 请求中存在“Access-Control-Allow-Origin”标头 资源。因此不允许使用原点“http://app.example.com” 访问。

我的 php 代码如下所示:

$http_origin = $_SERVER['HTTP_ORIGIN'];

$allowed_domains = array(
    'http://example.com',
    'https://example.com',
    'http://app.example.com',
    'https://app.example.com',
    'http://www.example.com',
    'https://www.example.com'
);

if (in_array(strtolower($http_origin), $allowed_domains))
{  
    // header("Access-Control-Allow-Origin: *");
    header("Access-Control-Allow-Origin: $http_origin");
    header('Access-Control-Allow-Credentials: true');
    header('Access-Control-Max-Age: 86400');
}

// Access-Control headers are received during OPTIONS requests
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
        header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
        header("Access-Control-Allow-Headers: Authorization, Content-Type,Accept, Origin");
    exit(0);
}

我的 Angular 帖子如下所示:

public login(login: Login): Observable<LoginResponse> {
    let headers = new Headers();
    headers.append('Content-Type', 'application/x-www-form-urlencoded');
    headers.append('Authorization', 'Basic ' + btoa(login.Username + ':' + login.Password));
    return  this.http.post(this.apiBaseUrl + '/Account/Login', "grant_type=client_credentials", { headers: headers })
        .map(response => {
            // code
        });
}

如果我通过邮递员运行请求,这不会打扰 CORS,我会得到:

{ "error": "invalid_client", "error_description": "Client credentials were not found in the headers or body" }

我尝试将 origin 设置为 '*' 只是为了测试一下这是否是问题的核心,但它仍然以同样的方式失败。

编辑 只是从下面的信息更新。更改标题中的大小写没有效果,将代码从 if 语句中拉出也没有效果。

我通过告诉我的实时应用程序转到我的本地 api 来调试 php,并且 php 正在按预期工作。它正在设置标题并将其放入每个 if 语句中。

编辑镜头 2 我真的可以在这方面使用一些帮助,如果有人有任何想法,我将不胜感激。

编辑镜头 3 如果我在我的 .htaccess 而不是我的 php 中设置所有标题内容,它会让我通过。但是,现在我遇到了上面列出的错误,我在使用邮递员时总是遇到,但现在是在使用实际站点时。

{"error":"invalid_client","error_description":"Client credentials were not found in the headers or body"}

我的响应头是这样的

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:authorization, content-type, accept, origin
Access-Control-Allow-Methods:GET, POST, OPTIONS
Access-Control-Allow-Origin:*

一旦它工作,我会将它从 * 更改为仅我的域。但现在我将其保留为 *。

我请求的标题。

【问题讨论】:

  • 从 if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') { 中取出代码并检查发生了什么。
  • 您可以通过在浏览器中检查网络选项卡来分享服务器响应的快照吗?
  • 调试器中的响应选项卡是空白的,但这是标题 -- 响应:Allow:POST,OPTIONS,GET,HEAD,TRACE Connection:keep-alive Content-Length:0 Content-Type:text/plain Date:Sun, 11 Jun 2017 02:41:43 GMT Keep-Alive:timeout=30 Server:Apache/2 请求:Accept:*/* Accept-Encoding:gzip, deflate Accept-Language:en-US,en;q=0.8,ca;q=0.6 Access-Control-Request-Headers:authorization Access-Control-Request-Method:POST Connection:keep-alive Host:api.example.com Origin:http://app.example.com Referer:http://app.example.com/login
  • 您服务器上的$http_origin 是什么?您发布的响应标头上没有Access-Control-Allow-Origin,这解释了为什么您的浏览器会大惊小怪。实际上,您的任何标头似乎都没有被发送,因此我什至认为这些 if 语句中的任何一个都不是真的。拥有一个基于$_SERVER['http_origin'] 的动态Access-Control-Allow-Origin 有点奇怪。您应该考虑在每个请求中发送您接受的实际域,或者将其设置为环境设置(以避免对域进行硬编码)
  • @Nieminen — 如果代码在您使用不同的服务器时跨源工作,则表明问题不在于您的代码。例如,您可能在服务器上有某种反向代理,它会去除 Access-Control-Allow-Origin 标头。

标签: php angular cors preflight


【解决方案1】:

好的,我最近遇到了类似的问题,我只在后端解决了所有问题,没有 .htaccess 的东西。

当浏览器发送跨服务器请求时,它首先发送一个 OPTIONS 请求以确保它是有效的并且它可以发送“真正的”请求。 在它从 OPTIONS 获得正确且有效的响应后,才会发送“真实”请求。

现在对于后端的两个请求,您需要确保返回正确的标头:content-type、allow-origin、allow-headers 等...

确保在后端的 OPTIONS 请求中,应用返回标头并返回响应,而不是继续应用的完整流程。

在“真实”请求中,您应该返回正确的标头和常规响应正文。

示例:

    //The Response object
    $res = $app->response;

    $res->headers->set('Content-Type', 'application/json');
    $res->headers->set('Access-Control-Allow-Origin', 'http://example.com');
    $res->headers->set('Access-Control-Allow-Credentials', 'true');
    $res->headers->set('Access-Control-Max-Age', '60');
    $res->headers->set('Access-Control-Allow-Headers', 'AccountKey,x-requested-with, Content-Type, origin, authorization, accept, client-security-token, host, date, cookie, cookie2');
    $res->headers->set('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');

    if ( ! $req->isOptions()) {
        // this continues the normal flow of the app, and will return the proper body
        $this->next->call();
    } else {
        //stops the app, and sends the response
        return $res;
    }

要记住的事情:

  • 如果您使用的是:“Access-Control-Allow-Credentials”= true 确保“Access-Control-Allow-Origin”不是“*”,必须使用正确的域进行设置! (这里流了很多血:/)

  • 定义您将在“Access-Control-Allow-Headers”中获得的允许标头 如果你不定义它们,请求将失败

  • 如果你使用“Authorization: Bearer”,那么“Access-Control-Allow-Headers”也应该包含“Authorization”,否则请求会失败

【讨论】:

  • 我还不能测试这个,但听起来不错。我将继续接受答案,以便您可以在赏金到期之前获得赏金。谢谢!
  • 谢谢 :) 如果它不起作用,请评论直到我们解决它。一周前我在这上面浪费了很多时间,所以我和你有关哈哈
  • 您介意帮我看一下相关问题吗? stackoverflow.com/questions/44751329/…
  • 完美运行!我一直在寻找这个解释和 Access-Control-Allow-Headers 来解决我的 CORS 策略问题。
  • 感谢:特别是“要记住的事情”这句话。补充:如果您使用标头授权,它会形成一个预检请求。标头“Access-Control-Allow-Headers”还应包含“授权”。
【解决方案2】:

我在php下面添加,它解决了我的问题。

header("Access-Control-Allow-Origin: *");

header("Access-Control-Allow-Headers: Content-Type, origin");

【讨论】:

  • 这段代码应该在哪里?一些更多的细节和解释会帮助像我这样的初学者
  • @AbdealiChandanwala 就在你返回之前
  • 我们可以制作一个像 connection.php 这样的 php 文件并将这些行放入其中并将 thaat 文件用于不同的 php 文件(我们返回响应的位置)吗?
【解决方案3】:

我有类似的问题,

开发环境:NginX Proxy 后面的 Apache Web 服务器

我的应用位于我的 Apache 服务器的虚拟主机中, 配置名称:appname.devdomain.com

在内部访问网络应用程序时,我没有通过代理: 我使用的是网址:appname.devdomain.com

这样我没问题。

但是,当使用公共 url 从外部访问它时:appname.prddomain.com 它会加载,甚至在登录后访问系统,然后加载模板和一些会话内容,然后,如果客户端进行异步调用,那么我会在 chrome 控制台中收到以下消息:

"Access to XMLHttpRequest at 'http://appname.devdomain.com/miAdminPanel.php' from origin 'http://appname.prddomain.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request."

为了测试这个,我打开了两个标签

第一个选项卡使用 url:appname.devdomain.com 访问网络,生成 XMLHttpRequest -> OK

第二个选项卡使用 url:appname.prddomain.com 访问网络,在上面生成 XMLHttpRequest -> CORS 错误消息。

所以,更改 Nginx 代理配置后:

server {
    listen      80;
    server_name appname.prddomain.com;

    # SSL log files ###
    access_log      /path/to/acces-log.log;
    error_log       /path/to/error-log.log;

location / {
    proxy_pass  http://appname.devdomain.com;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Server $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

基本上这告诉代理将外部请求视为内部请求。

【讨论】:

    【解决方案4】:

    在我使用 Angular 前端和 Php 后端的类似案例中,帮助代码如下。首先我发送一个标题:

    header("Access-Control-Allow-Origin: http://localhost:4200");   
header("Content-Type: application/json; charset=UTF-8");    
header("Access-Control-Allow-Methods: POST, DELETE, OPTIONS");    
header("Access-Control-Max-Age: 3600");    
header("Access-Control-Allow-Headers: Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With");

    在他们之后,我可以忽略选项请求:

    if ($_SERVER['REQUEST_METHOD'] === 'OPTIONS') {    
   return 0;    
}

    这种方法帮助我处理来自 Angular 的“发布”和“删除”嵌入式请求方法。

    【讨论】:

      猜你喜欢
      • 2019-12-05
      • 2019-10-28
      • 2020-10-15
      • 2017-11-01
      • 2016-06-05
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode