Questions tagged «cors»

我正在尝试从另一个（angularjs）调用一个应用程序（spring-boot应用程序）上的REST端点。这些应用程序正在以下主机和端口上运行。 REST应用程序，使用Spring Boot， http://localhost:8080 HTML应用程序，使用angularjs， http://localhost:50029 我还使用spring-security了spring-boot应用程序。我可以从HTML应用程序向REST应用程序进行身份验证，但是此后，我仍然无法访问任何REST端点。例如，我有一个定义如下的angularjs服务。 adminServices.factory('AdminService', ['$resource', '$http', 'conf', function($resource, $http, conf) { var s = {}; s.isAdminLoggedIn = function(data) { return $http({ method: 'GET', url: 'http://localhost:8080/api/admin/isloggedin', withCredentials: true, headers: { 'X-Requested-With': 'XMLHttpRequest' } }); }; s.login = function(username, password) { var u = 'username=' + encodeURI(username); var …

87 angularjs  rest  spring-mvc  spring-boot  cors 

我现在遇到一个奇怪的CORS问题。 这是错误消息： XMLHttpRequest cannot load http://localhost:8666/routeREST/select?q=[...] Origin http://localhost:8080 is not allowed by Access-Control-Allow-Origin 两台服务器： localhost：8666 / routeREST /：这是一个简单的Python Bottle服务器。 localhost：8080 /：我在其中运行Javascript应用程序的Python simpleHTTPserver。这个应用程式正在上方的伺服器执行Ajax要求。 有什么问题的想法吗？ 编辑： 而且...港口是问题所在。感谢您的回答:) 如果有人也在使用Python瓶服务器，则可以按照本文中给出的答案解决CORS问题： Bottle Py：为jQuery AJAX请求启用CORS

86 javascript  python  ajax  cross-domain  cors 

我正在尝试通过XMLHttpRequest从Firebase存储下载文件，但是未在资源上设置Access-Control-Allow-Origin，因此是不可能的。有什么方法可以在存储服务器上设置此标头？ (let [xhr (js/XMLHttpRequest.)] (.open xhr "GET" url) (aset xhr "responseType" "arraybuffer") (aset xhr "onload" #(js/console.log "bin" (.-response xhr))) (.send xhr))) Chrome错误消息： XMLHttpRequest无法加载 https://firebasestorage.googleapis.com/[EDITED] 所请求的资源上没有“ Access-Control-Allow-Origin”标头。因此，不允许访问源' http：// localhost：3449 '。

86 firebase  cors  google-cloud-storage  firebase-storage 

不透明响应定义为Fetch API的一部分，表示未启用CORS时对远程源的请求结果。 关于如何使用不透明的响应（无论是来自JavaScript还是作为页面资源）存在哪些实际限制和“陷阱”？

86 javascript  cors  service-worker  fetch-api 

将web.xml移植到Java配置后出现以下问题 No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:63342' is therefore not allowed access. 根据一些Spring参考，尝试了以下尝试： @Configuration @ComponentScan(basePackageClasses = AppConfig.class, useDefaultFilters = false, includeFilters = { @Filter(org.springframework.stereotype.Controller.class) }) @EnableWebMvc public class WebConfig extends WebMvcConfigurerAdapter { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/*").allowedOrigins("*").allowedMethods("GET", "POST", "OPTIONS", "PUT") .allowedHeaders("Content-Type", "X-Requested-With", "accept", …

84 spring  spring-mvc  cors 

我的Web客户端应用程序正在通过访存API设置HTTP POST请求。 我看到OPTIONS预检请求是通过调试代理（Charles Proxy）发送的，但未显示在Google Chrome开发者工具\网络标签中。 网络标签上没有任何过滤器设置。我记得OPTIONS请求在此处可见，但现在不再可见。我该如何带回他们？

82 google-chrome  cors  google-chrome-devtools  preflight 

在阅读了CORS（跨源资源共享）后，我不了解它如何提高安全性。如果发送了正确的ORIGIN标头，则允许跨域AJAX通信。例如，如果我发送 来源：http：//example.com 服务器检查此域是否在白名单中，以及是否在标头中： 访问控制允许来源：[此处接收的网址] 与响应一起发送回去（这是简单的情况，也有预先要求的请求，但问题是相同的）。 这真的安全吗？如果有人想接收该信息，则伪造ORIGIN标头似乎是一件微不足道的任务。该标准还说该策略在浏览器中执行，如果Access-Control-Allow-Origin不正确，则会阻止响应。显然，如果有人试图获取该信息，他将不会使用标准的浏览器来阻止它。

81 javascript  ajax  cross-domain  cors 

对于以下ajax发布请求Flask（如何使用从flask中的ajax发布的数据？）： $.ajax({ url: "http://127.0.0.1:5000/foo", type: "POST", contentType: "application/json", data: JSON.stringify({'inputVar': 1}), success: function( data ) { alert( "success" + data ); } }); 我收到一个Cross Origin Resource Sharing (CORS)错误： No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. The response had HTTP status code …

81 javascript  python  ajax  flask  cors 

我正在构建一个利用CORS的REST应用程序。每个REST调用都是不同的，我发现获取预检OPTIONS调用会产生大量开销。有没有一种方法可以缓存和应用预检OPTIONS结果，以便对同一域的任何后续调用都可以使用缓存的响应？

78 cors 

我的应用程序将图像存储在S3上，然后通过Cloudfront对其进行代理。我很高兴使用新的S3 CORS支持，以便可以使用HTML5 canvas方法（具有跨域策略），但似乎无法正确配置S3和Cloudfront。当我尝试将图像转换为画布元素时，仍然遇到“未捕获的错误：SECURITY_ERR：DOM异常18”。 这是我到目前为止的内容： S3 <CORSConfiguration> <CORSRule> <AllowedOrigin>MY_WEBSITE_URL</AllowedOrigin> <AllowedMethod>GET</AllowedMethod> <MaxAgeSeconds>3000</MaxAgeSeconds> <AllowedHeader>*</AllowedHeader> </CORSRule> <CORSRule> <AllowedOrigin>MY_CLOUDFRONT_URL</AllowedOrigin> <AllowedMethod>GET</AllowedMethod> <AllowedHeader>*</AllowedHeader> </CORSRule> </CORSConfiguration> 云前 起源 Origin Protocol Policy: Match Viewer HTTP Port: 80 HTTPS Port: 443 行为举止 Origin: MY_WEBSITE_URL Object Caching: Use Origin Cache Headers Forward Cookies: None Forward Query Strings: Yes 我在这里想念什么吗？ 更新：刚刚尝试将标题更改为 <AllowedHeader>Content-*</AllowedHeader> …

78 amazon-s3  cors  amazon-cloudfront 

我试图按照http://enable-cors.org/server_aspnet.html 上的步骤操作，以使我的RESTful API（使用ASP.NET WebAPI2实现）可以处理跨源请求（启用CORS）。除非我修改web.config，否则它将无法正常工作。 我安装了WebApi Cors依赖项： install-package Microsoft.AspNet.WebApi.Cors -ProjectName MyProject.Web.Api 然后在我App_Start的班级中WebApiConfig，如下所示： public static class WebApiConfig { public static void Register(HttpConfiguration config) { var corsAttr = new EnableCorsAttribute("*", "*", "*"); config.EnableCors(corsAttr); var constraintsResolver = new DefaultInlineConstraintResolver(); constraintsResolver.ConstraintMap.Add("apiVersionConstraint", typeof(ApiVersionConstraint)); config.MapHttpAttributeRoutes(constraintsResolver); config.Services.Replace(typeof(IHttpControllerSelector), new NamespaceHttpControllerSelector(config)); //config.EnableSystemDiagnosticsTracing(); config.Services.Replace(typeof(ITraceWriter), new SimpleTraceWriter(WebContainerManager.Get<ILogManager>())); config.Services.Add(typeof(IExceptionLogger), new SimpleExceptionLogger(WebContainerManager.Get<ILogManager>())); config.Services.Replace(typeof(IExceptionHandler), new …

77 c#  rest  cors  asp.net-web-api2 

我一直在寻找添加此安全性的具体安全原因。当我实现cors时，这是一个WTH时刻，可以看到所有标头都已返回，但我无法通过javascript访问它们。

77 cors 

我正在开发JSON / REST Web API，为此，我特别希望第三方网站能够通过AJAX调用我的服务。因此，我的服务正在发送著名的CORS标头： Access-Control-Allow-Origin: * 允许第三方站点通过AJAX调用我的服务。到目前为止一切都很好。 但是，我的Web api的一个子部分是非公开的，需要身份验证（带有OAuth和access_token cookie的相当标准的东西）。在我网站的此部分也启用CORS是否安全？ 一方面，如果第三方网站可以具有也与我的服务的这一部分进行交互的ajax客户端，那将很酷。但是，首先要有一个相同的原产地政策的原因是这样做可能有风险。您不希望以后访问的任何网站都能够访问您的私人内容。 我担心的情况是，用户在网站或他信任的网站上登录我的Web api，却忘记了注销。这会允许他随后访问的所有其他网站使用现有会话访问其私人内容吗？ 所以我的问题是： 在非公开内容上启用CORS是否安全？ 如果启用了CORS的服务器通过cookie设置了session_token，该cookie是否保存在CORS服务器或主网页服务器的域下？

77 ajax  web-services  security  cross-domain  cors 

我正在使用node和socket.io编写聊天应用程序。在Chrome上运行正常，但mozilla给出了启用跨域请求的错误。 跨域请求被阻止：“同源策略”不允许读取位于http://waleedahmad.kd.io:3000/socket.io/?EIO=2&transport=polling&t=1401964309289-2&sid=1OyDavRDf4WErI-VAAAI的远程资源。可以通过将资源移至同一域或启用CORS来解决此问题。 这是我启动节点服务器的代码。 var express = require('express'), app = express(), server = require('http').createServer(app), io = require('socket.io').listen(server), path = require('path'); server.listen(3000); app.get('/', function(req, res) { res.sendfile(__dirname + '/public/index.html'); }); 在客户端。 var socket = io.connect('//waleedahmad.kd.io:3000/'); HTML页面上的脚本标记。 <script type="text/javascript" src="//waleedahmad.kd.io:3000/socket.io/socket.io.js"></script> 我还在应用程序根目录中使用.htaccess文件。（waleedahmad.kd.io/node）。 Header add Access-Control-Allow-Origin "*" Header add Access-Control-Allow-Headers "origin, x-requested-with, content-type" Header add …

77 node.js  sockets  socket.io  cors 

我从浏览器发送这样的POST请求： fetch(serverEndpoint, { method: 'POST', mode: 'no-cors', // this is to prevent browser from sending 'OPTIONS' method request first redirect: 'follow', headers: new Headers({ 'Content-Type': 'text/plain', 'X-My-Custom-Header': 'value-v', 'Authorization': 'Bearer ' + token, }), body: companyName }) 在请求到达我的后端时，它既不包含X-My-Custom-Header也不包含Authorization标头。 我的后端是Firebase的Google Cloud函数（基本上只是Node.js端点），如下所示： exports.createCompany = functions.https.onRequest((req, res) => { let headers = ['Headers: …

77 javascript  http  post  cors  fetch-api