CORS: невозможно использовать подстановочный знак в Access-Control-Allow-Origin, если флаг учетных данных имеет значение true

у меня есть настройка с участием

сервер интерфейса (узел.js, домен: localhost: 3000) бэкэнд (Django, Ajax, домен: localhost:8000)

браузер

браузер (webapp) --> Ajax --> Django (обслуживать запросы ajax POST)

теперь моя проблема здесь с настройкой CORS, которую webapp использует для выполнения вызовов Ajax на бэкэнд-сервер. В chrome я продолжаю получать

нельзя использовать подстановочный знак в Access-Control-Allow-Origin, когда флаг учетных данных имеет значение true.

также не работает в firefox.

Мой Узел.настройка JS-это:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

и в Django я использую это промежуточное ПО вместе с

webapp делает запросы как таковые:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

Итак, заголовки запросов, которые отправляет webapp, выглядят так:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

и вот ответ заголовок:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

где я ошибаюсь?!

Edit 1: я использовал chrome --disable-web-security, но теперь хочу, чтобы все действительно работает.

Edit 2: Ответ:

Итак, решение для меня django-cors-headers config:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

4 ответов


Это часть безопасности, вы не можете сделать это. Если вы хотите разрешить учетные данные, то ваш Access-Control-Allow-Origin нельзя использовать *. Вам нужно будет указать точный протокол + домен + порт. Для справки см. Следующие вопросы:

  1. Access-Control-Allow-Origin подстановочные знаки, порты и протоколы
  2. совместное использование ресурсов Cross Origin с учетными данными

кроме того * слишком разрешительный и будет поражение использования учетных данных. Так что set http://localhost:3000 или http://localhost:8000 в качестве заголовка allow origin.


Если вы используете express можно использовать cors пакет, чтобы позволить CORS, как так вместо написания промежуточного программного обеспечения;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

Если вы используете промежуточное ПО CORS и хотите отправить withCredential boolean true, вы можете настроить CORS следующим образом:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));

попробуй:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));