如何使用cURL调试CORS请求?


300

如何使用cURL调试CORS请求?到目前为止,我找不到任何“模拟”飞行前请求的方法。

Answers:


495

这是您可以使用curl调试CORS请求的方法。

使用cUrl发送常规的CORS请求:

curl -H "Origin: http://example.com" --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

-H "Origin: http://example.com"标志是第三方域发出请求。替代您的域。

--verbose标志将打印出整个响应,因此您可以看到请求和响应头。

我上面使用的url是对支持CORS的Google API的示例请求,但是您可以替换正在测试的任何url。

响应中应包含Access-Control-Allow-Origin标题。

使用cUrl发送预检请求:

curl -H "Origin: http://example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: X-Requested-With" \
  -X OPTIONS --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

这看起来与常规的CORS请求类似,但有一些补充:

这些-H标志将其他预检请求标头发送到服务器

-X OPTIONS标志指示这是一个HTTP OPTIONS请求。

如果预检请求成功,响应应该包括Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers响应头。如果预检请求不成功,则不应显示这些标头,否则HTTP响应将不是200。

您还可以User-Agent使用该-H标志指定其他标头,例如,。


2
该页面似乎没有返回任何CORS标头,对吗?
Janus Troelsen

1
为了查看实际的标题,您需要添加--verbose选项,如上所述。
monsur 2013年

10
--headcurl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\=
约翰·巴希尔

2
使用--include查看标题。
米卡·图波拉

7
对于S3,仅在给出适当方法的情况下才添加相应的标题,您可以使用来添加标题curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file
Joscha

52

更新的答案涵盖了大多数情况

curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
  1. http://www.example.com/替换为您要测试的URL。
  2. 如果响应包括,Access-Control-Allow-*则您的资源支持CORS。

替代答案的理由

我不时在Google上搜索这个问题,被接受的答案永远不是我需要的。首先,它会打印很多文本的响应正文。--head仅添加输出标头。其次,在测试S3 URL时,我们需要提供其他标头-H "Access-Control-Request-Method: GET"

希望这可以节省时间。


2
如果我在没有设置原点的情况下卷曲并且可以返回响应和标头(包括access-control-allow-origin标头),这是否意味着我设置了错误的CORS?卷曲-X GET ' endpoint.com ' -H '缓存控制:无缓存' --head
Jun711

弄清楚同一个人@Jun
Lukas Lukac '18

1
这依赖于--head使curl打印出标题,但也使curl发出HEAD请求而不是发出请求GET。根据您要测试的内容,您可能要提出一个GET请求。您可以通过添加来做到这一点--IXGET
艾丹·菲茨帕特里克

2
这不是倒退吗?来源不应该是example.com吗?
达斯汀·英格拉姆

4

下面的bash脚本“ corstest”对我有用。它基于上述Jun的评论。

用法

胸衣[-v]网址

例子

./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *

阳性结果显示为绿色

./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS

否定结果以红色和蓝色显示

-v选项将显示完整的curl标头

胸衣

#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139

#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'  
red='\033[0;31m'  
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'

#
# a colored message 
#   params:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}


#
# show the usage
#
usage() {
  echo "usage: [-v] $0 url"
  echo "  -v |--verbose: show curl result" 
  exit 1 
}

if [ $# -lt 1 ]
then
  usage
fi

# commandline option
while [  "$1" != ""  ]
do
  url=$1
  shift

  # optionally show usage
  case $url in      
    -v|--verbose)
       verbose=true;
       ;;          
  esac
done  


if [ "$verbose" = "true" ]
then
  curl -s -X GET $url -H 'Cache-Control: no-cache' --head 
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)


if [ $? -eq 0 ]
then
  color_msg $green "$url $origin"
else
  color_msg $red "$url does not support CORS"
  color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi

添加Origin标头会更好。-H '产地:mydomain.xyz '
巴斯

3

看起来像这样工作:

curl -I http://example.com

Access-Control-Allow-Origin: *在返回的标题中查找


3
请记住,*如果需要在API请求中提供诸如cookie之类的凭据,这将不起作用。在这种情况下,Access-Control-Allow-Origin响应中还需要FQDN Access-Control-Allow-Credentials: true。尽管OP并未将经过身份*验证的请求指定为要求,所以适用于任何未经身份验证的请求。
GameSalutes
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.