即使存在 CORS 标头,AJAX 请求也会失败

【问题标题】:AJAX request failing even though CORS headers are present即使存在 CORS 标头,AJAX 请求也会失败
【发布时间】:2013-07-16 12:47:17
【问题描述】:

从本地服务页面到远程服务器的 AJAX 请求失败,即使似乎所有 CORS 标头都存在。这是javascript:

$.ajax({url: 'http://prox.tum.lt/420663719182/test-upload?Action=SendMessage&Version=2012-11-05&MessageBody=eyJlbWFpbCI6IiIsInNhbHQiOiJ6eTVzbnV0ams5MWY5YTRpIn0%3D', headers: {"X-Endpoint": "http://sqs.us-east-1.amazonaws.com"}})

这是一个做同样事情的 curl 命令行:

curl -vH 'X-Endpoint: http://sqs.us-east-1.amazonaws.com' 'http://prox.tum.lt/420663719182/test-upload?Action=SendMessage&Version=2012-11-05&MessageBody=eyJlbWFpbCI6IiIsInNhbHQiOiJ6MTc3ZHk4cDUyaXlzeXZpIn0%3D'

如果你运行上面的命令,你可以看到响应 CORS 头是最大允许的:

< HTTP/1.1 200 OK
< Access-Control-Allow-Credentials: true
< Access-Control-Allow-Headers: DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,X-Endpoint,Accept,Origin,Referer,X-Something
< Access-Control-Allow-Methods: GET, POST, OPTIONS
< Access-Control-Allow-Origin: *

以下是随请求一起发送的标头:

Request Headersview source
Accept: */*
Origin: http://localhost:3000
Referer: http://localhost:3000/upload
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36
X-Endpoint: http://sqs.us-east-1.amazonaws.com

但是,我仍然在 chrome 的网络控制台中看到请求失败:

XMLHttpRequest cannot load http://prox.tum.lt/420663719182/test-upload?Action=SendMessage&Version=2012-11-05&MessageBody=eyJlbWFpbCI6IiIsInNhbHQiOiJ6eTVzbnV0ams5MWY5YTRpIn0%3D. Origin http://localhost:3000 is not allowed by Access-Control-Allow-Origin.

Access-Control-Allow-Origin: * 标头不应该让浏览器允许它通过吗?

我还在网络控制台中看到了一个预检请求,该请求似乎成功了 204,以及与上述相同的许可 CORS 标头。这是预检请求和响应标头的屏幕截图:

http://i.imgur.com/TMRPUPG.png

【问题讨论】:

  • 您也可以显示请求标头吗?这些可能很重要,应该更能说明您的问题。
  • @RayNicholus 添加了请求标头。还添加了一条注释,我看到浏览器为此请求发出预检,这很奇怪,因为它是一个 GET 请求。但是,对预检的响应看起来应该允许 AJAX 请求。
  • 有几个不同的因素用于确定用户代理是否应该预检请求。非标准标头的存在是一个因素。您的 X-Endpoint 标头正在触发预检。
  • @RayNicholus Ahhh,有趣,我不知道。直接从开发人员控制台复制/粘贴时,标头会出现问题,但这里有一个屏幕截图,显示了预检请求/响应中的所有标头。对我来说看起来不错,但我可能会遗漏一些东西。
  • @RayNicholus 我在 node.js 中重新实现了我的 CORS 服务器(它是一个复杂的 nginx 配置和 node.js 的组合),这个问题就消失了:P 因为我仍然没有知道出了什么问题,而且可能永远不会,我将删除这个问题。无论如何感谢您的帮助!

标签: javascript ajax cors


【解决方案1】:

我看到您正在使用已知无法很好地处理 localhost CORS 请求的 Chrome。尝试使用 vcap.me 之类的域(指向 127.0.0.1)或使用 --disable-web-security 标志启动 chrome。

【讨论】:

  • 使用备用域仍然不起作用,但是 --disable-web-security 有效。不幸的是,这不是一个很好的解决方案:(
  • 是的,这是一个自 2010 年以来开放的已知错误:code.google.com/p/chromium/issues/detail?id=67743
  • 但是它仍然不适用于 vcap.me 或备用域,因此这似乎不是问题。
  • 一些浏览器也不允许 Access-Control-Allow-Origins 为 *.也将其设置为备用域(或在源列表中包含备用域)
【解决方案2】:

如果您使用 Access-Control-Allow-Credentials,则不能将“*”用于 Access-Control-Allow-Origins - 它需要指定为特定来源。

【讨论】:

猜你喜欢
  • 2015-06-25
  • 2017-04-19
  • 2020-03-13
  • 1970-01-01
  • 2014-07-26
  • 2013-05-18
  • 2014-11-20
  • 2016-03-03
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode