【发布时间】:2017-07-07 11:54:56
【问题描述】:
我在 Chrome 开发工具中看到的响应标头与 Angular 2 在 Chrome 控制台中显示的响应标头不匹配。
执行后仅显示 Content-Type 标头:
this.http.get(tempUrl).map(res=>{
console.log("csrf received");
console.log(res);
})
【问题讨论】:
【发布时间】:2017-07-07 11:54:56
【问题描述】:
默认情况下(对 Javascript)仅公开特定的“安全”标头列表。这是出于安全原因。这份名单如下
- 缓存控制
- 内容-语言
- 内容类型
- 过期
- 最后修改
- 编译指示
为了暴露其他头,服务器应该发送访问控制头Access-Control-Expose-Headers,列出它想要暴露的所有头。
Access-Control-Expose-Headers: Content-Length, X-CSRF-Token
【讨论】:
-
另外有时你想改变 app.js 中的节点代码,把 this.app.use(cors({ exposeHeaders: ['Content-Length', 'token'], }));参考。 truetocode.com/…