Ответ на предполетный запрос не проходит проверку контроля доступа

Question

Ответ на предполетный запрос не проходит проверку контроля доступа

299

Я получаю эту ошибку, используя ngResource, чтобы вызвать REST API для веб-служб Amazon:

XMLHttpRequest не может загрузить http://server.apiurl.com:8000/s/login?login=facebook. Ответ на запрос перед полетом не проходит проверку контроля доступа. Нет заголовка "Access-Control-Allow-Origin" на запрошенном ресурсе. Происхождение ' http://localhost ', следовательно, не допускается. Ошибка 405

Обслуживание:

socialMarkt.factory('loginService', ['$resource', function($resource){    
    var apiAddress = "http://server.apiurl.com:8000/s/login/";
    return $resource(apiAddress, { login:"facebook", access_token: "@access_token" ,facebook_id: "@facebook_id" }, {
                getUser: {method:'POST'}
            });
}]);

контроллер:

[...]
loginService.getUser(JSON.stringify(fbObj)),
                function(data){
                    console.log(data);
                },
                function(result) {
                    console.error('Error', result.status);
                }
[...]

Я использую Chrome, и я не знаю, что еще нужно сделать, чтобы исправить эту проблему. Я даже настроил сервер для приема заголовков из localhost.

Andre Mendes 23 фев. 2016, в 21:18

Источник

0

растерян: вы «настраивали сервер» или это «API отдыха на веб-сервисе Amazon»?
dandavis 23 фев. 2016, в 21:42
3

Вы явно не сделали достаточно, чтобы включить CORS на стороне сервера. Опубликовать образец заголовка ответа
charlietfl 23 фев. 2016, в 21:44
3

В любом случае ваши отрицательные голоса неверны. Он размещает свои файлы на своем локальном компьютере. Не имеет значения, какой конф он делает на заднем плане. Угловой не позволит этот предварительный полет.
E. Maggini 23 фев. 2016, в 21:53
0

@ Браузер E.Maggini не заботится о том, где находится сервер .... он только знает, как сделать запрос ... до тех пор, пока запрос содержит правильные заголовки, браузер может меньше заботиться о том, откуда они берутся. Выпуск абсолютно не связан с угловатыми. Это сам браузер, который делает запрос опций
charlietfl 23 фев. 2016, в 22:09
3

Спасибо за комментарии, это работало, когда я настраивал браузер на поворот безопасности
Andre Mendes 24 фев. 2016, в 00:12
0

@ Андрей Но отключение безопасности - это просто уродливый обходной путь, когда вы идете на компромисс с безопасностью, но это не решает вашу проблему ...
shivi 06 апр. 2017, в 06:50
0

с Node JS эта ссылка на stackoverflow.com/a/40026625/7822663 помогла мне решить проблему
Poorna 18 сен. 2017, в 09:16
0

Пожалуйста, обратитесь к этому сообщению для ответа и как решить эту проблему stackoverflow.com/questions/53528643/…
Ramesh Roddam 28 нояб. 2018, в 22:11

Показать ещё 6 комментариев

Теги:

javascript

ajax

http

cors

http-status-code-405

20 ответов

131

Мой "API-сервер" - это приложение PHP, поэтому для решения этой проблемы я нашел решение ниже:

Поместите строки в index.php

header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PATCH, PUT, DELETE, OPTIONS');
header('Access-Control-Allow-Headers: Origin, Content-Type, X-Auth-Token');

Slipstream 06 апр. 2016, в 10:56

2

Я согласен, это лучше, чем принятый ответ, хотя будьте осторожны при копировании этих строк, обязательно измените методы и происхождение.
Amir Savand 15 апр. 2018, в 10:39
0

Куда ты это положил? В корне получить конечную точку?
CodyBugstein 08 июнь 2018, в 15:25
7

Где поместить его в проект Angular 6?
whatthefish 07 июль 2018, в 13:09
0

@CodyBugstein и что ставят перед выходом
Garet Claborn 30 июль 2018, в 23:10

Показать ещё 2 комментария

34

В AspNetCore web api эта проблема исправлена добавлением "Microsoft.AspNetCore.Cors" (версия 1.1.1) и добавлением ниже изменений в Startup.cs.

public void ConfigureServices(IServiceCollection services)
{ 
    services.AddCors(options =>
    {
          options.AddPolicy("AllowAllHeaders",
                builder =>
            {
                    builder.AllowAnyOrigin()
                           .AllowAnyHeader()
                           .AllowAnyMethod();
                });
    });
    .
    .
    .
}

и

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{


    // Shows UseCors with named policy.
    app.UseCors("AllowAllHeaders");
    .
    .
    .
}

и положив [EnableCors("AllowAllHeaders")] на контроллер.

Rajkumar Peter 05 май 2017, в 16:16

14

Это хороший ответ, если вы хотите встроить уязвимости межсайтового скриптинга! Пожалуйста, никогда не делайте этого! Укажите свои домены, к которым вы можете получить доступ, чтобы избежать проблем с безопасностью. CORS существует по причине.
paqogomez 20 июнь 2017, в 21:29
1

Просто чтобы сделать это более понятным @paqogomez, в вашем методе ConfigureServices: services.AddCors (options => {options.AddPolicy ("AllowSpecificOrigin", builder => {builder.WithOrigins (" localhost" ) .AllowAnyOrigin () .AllowAnyHeader (). AllowAnyMethod ();});}); и в вашем методе Configure: app.UseCors ("AllowSpecificOrigin");
Francisco Tena 08 окт. 2018, в 10:10

14

JavaScript XMLHttpRequest и Fetch следуют политике одного и того же происхождения. Так, веб-приложение, использующее XMLHttpRequest или Fetch, могло только сделать HTTP запросы в свой домен.

Источник: https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

Вы должны отправить HTTP-заголовок Access-Control-Allow-Origin: * со своей стороны.

Если вы используете Apache в качестве своего HTTP-сервера, вы можете добавить его в свой конфигурационный файл Apache следующим образом:

<IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
</IfModule>

Mod_headers включен по умолчанию в Apache, однако вы можете убедиться, что он включен при запуске:

 a2enmod headers

JedatKinports 30 март 2017, в 08:28

0

Где я могу найти свой конфигурационный файл Apache?
Shubham Arya 31 май 2018, в 07:42
0

@ShubhamArya в Linux Debian, расположение по умолчанию: /etc/apache2/apache2.conf
JedatKinports 31 май 2018, в 11:09
0

где я могу найти его в windows?
Shubham Arya 02 июнь 2018, в 08:08

Показать ещё 1 комментарий

7

Если вы пишете хром-расширение

Вы должны добавить в manifest.json разрешения для вашего домена (ов).

"permissions": [
   "http://example.com/*",
   "https://example.com/*"
]

freedev 21 июнь 2017, в 08:28

1

Также проверьте, если у вас есть префикс www
Vlas Bashynskyi 06 май 2018, в 09:45
1

спас мой бекон!
Andrew 19 июль 2018, в 22:40

5

Если вы случайно используете сервер IIS. вы можете установить ниже заголовки в опции заголовков HTTP-запроса.

Access-Control-Allow-Origin:*
Access-Control-Allow-Methods: 'HEAD, GET, POST, PUT, PATCH, DELETE'
Access-Control-Allow-Headers: 'Origin, Content-Type, X-Auth-Token';

с этим всем сообщением, get и т.д. будет работать нормально.

Sunil Kumar 08 сен. 2017, в 20:41

4

Для сервера флагов python вы можете использовать плагин-флагов, чтобы разрешать запросы на междоменные запросы.

Смотрите: https://flask-cors.readthedocs.io/en/latest/

Teriblus 25 авг. 2016, в 13:58

3

Есть некоторые предостережения, когда дело доходит до CORS. Во-первых, он не допускает подстановочные знаки * но не держите меня за это, я его где-то читал, и я не могу найти статью сейчас.

Если вы делаете запросы из другого домена, вам нужно добавить разрешенные заголовки источника. Access-Control-Allow-Origin: www.other.com

Если вы делаете запросы, которые влияют на ресурсы сервера, такие как POST/PUT/PATCH, и если тип mime отличается от следующего application/x-www-form-urlencoded, multipart/form-data или text/plain браузер автоматически сделайте запрос перед полетом OPTIONS для проверки с сервером, если он позволит это.

Таким образом, ваш API/сервер должен обрабатывать эти запросы OPTIONS соответственно, вам нужно ответить соответствующими access control headers а код состояния ответа HTTP должен быть 200.

Заголовки должны быть примерно такими, настраивать их для ваших нужд: Access-Control-Allow-Methods: GET, POST, PUT, PATCH, POST, DELETE, OPTIONS Access-Control-Allow-Headers: Content-Type Access-Control-Max-Age: 86400 Заголовок максимального возраста важен, в моем случае он не будет работать без него, я думаю, браузеру нужна информация о том, как долго "права доступа" действительны.

Кроме того, если вы делаете, например, запрос POST с помощью application/json mime из другого домена, вам также необходимо добавить ранее упомянутый заголовок источника разрешения, поэтому он будет выглядеть так:

Access-Control-Allow-Origin: www.other.com Access-Control-Allow-Methods: GET, POST, PUT, PATCH, POST, DELETE, OPTIONS Access-Control-Allow-Headers: Content-Type Access-Control-Max-Age: 86400

Когда перед полетом удастся и получит всю необходимую информацию, ваш фактический запрос будет сделан.

Вообще говоря, любые заголовки Access-Control запрашиваются в запросе на первоначальный или предполетный, должны быть указаны в ответе, чтобы он работал.

В документах MDN есть хороший пример в этой ссылке, и вы также должны проверить это сообщение SO

Sasa Blagojevic 22 окт. 2018, в 20:46

0

Хороший ответ! Интересно, никаких голосов за это.
Anurag 26 окт. 2018, в 15:24

3

В PHP вы можете добавить заголовки:

<?php
header ("Access-Control-Allow-Origin: *");
header ("Access-Control-Expose-Headers: Content-Length, X-JSON");
header ("Access-Control-Allow-Methods: GET, POST, PATCH, PUT, DELETE, OPTIONS");
header ("Access-Control-Allow-Headers: *");
...

atiruz 21 дек. 2017, в 15:44

0

Схематично, но работает в тестовой среде
Schylar 02 март 2018, в 05:11
2

Спасибо! это сэкономило мне время
Anna 15 авг. 2018, в 09:44
0

спасибо, у меня это сработало! в тестах и производственной среде. Даже используя https: //
Jose Seie 18 окт. 2018, в 16:40
1

@atiruz Спасибо за решение. Это работает, когда я добавил header ("Access-Control-Expose-Headers: Content-Length, X-JSON"); строки header ("Access-Control-Expose-Headers: Content-Length, X-JSON");
silambarasan R.D 23 фев. 2019, в 10:50

Показать ещё 2 комментария

2

Для них используется Lambda Integrated Proxy с API Gateway. Вам необходимо настроить свою лямбда-функцию, как если бы вы отправляли свои запросы непосредственно, то есть функция должна правильно настроить заголовки ответов. (Если вы используете пользовательские лямбда-функции, это будет обрабатываться шлюзом API.)

//In your lambda index.handler():
exports.handler = (event, context, callback) => {
     //on success:
     callback(null, {
           statusCode: 200,
           headers: {
                "Access-Control-Allow-Origin" : "*"
           }
     }
}

Xu Chen 08 дек. 2017, в 01:19

1

Я также хочу присоединиться и упомянуть одну большую ошибку, я не думаю, что документы AWS. Скажем, вы используете API-шлюз для прокси-функции вашей лямбда-функции, и вы используете какой-то API в этой лямбда-функции. Если этот API возвращает код успеха не-200, и вы не добавили код успеха не-200 в ответ метода в шлюзе API, вы получите сообщение об ошибке и не увидите свой успешный ответ . Примеры для этого: Sendgrid и Twilio имеют не 200 успешных кодов.
Stephen Tetreault 01 авг. 2018, в 20:29

2

В моем конфигурационном файле Apache VirtualHost я добавил следующие строки:

Header always set Access-Control-Allow-Origin "*"
Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
Header always set Access-Control-Max-Age "1000"
Header always set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, client-security-token"

RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L]

hugsbrugs 11 янв. 2017, в 13:08

1

Наша команда иногда видит это, используя Vue, axios и С# WebApi. Добавление атрибута маршрута в конечную точку, к которой вы пытаетесь попасть, исправляет его для нас.

[Route("ControllerName/Endpoint")]
[HttpOptions, HttpPost]
public IHttpActionResult Endpoint() { }

w00ngy 20 дек. 2018, в 20:44

0

Мы не совсем уверены, почему. Лол. Если кто-нибудь, дайте мне знать!
w00ngy 22 янв. 2019, в 14:29

1

Чтобы устранить проблемы перекрестных исходных запросов в приложении Node JS:

npm i cors

И просто добавьте строки ниже в app.js

let cors = require('cors')
app.use(cors())

rohit parte 12 окт. 2018, в 16:11

0

Работает отлично! Это отличный ответ
Chuck Villavicencio 26 март 2019, в 00:22

1

Очень часто причиной этой ошибки может быть то, что API-интерфейс хоста сопоставил запрос с методом http (например, PUT), и клиент API вызывает API с использованием другого метода http (например, POST или GET)

Christian Nwafor 29 сен. 2018, в 13:10

0

Я правильно внедрял CORS на своем сервере, но я забыл добавить метод PUT
fguillen 07 окт. 2018, в 17:38

1

Я использую AWS SDK для загрузки, потратив некоторое время на поиск в Интернете, я наткнулся на эту тему. благодаря @lsimoneau 45581857 выясняется, что происходит то же самое. Я просто указал URL-адрес своей просьбы на регион, добавив параметр region, и это сработало.

 const s3 = new AWS.S3({
 accessKeyId: config.awsAccessKeyID,
 secretAccessKey: config.awsSecretAccessKey,
 region: 'eu-west-2'  // add region here });

davyCode 07 сен. 2018, в 11:48

1

Отдельные дистрибутивы GeoServer включают сервер приложений Jetty. Включить совместное использование ресурсов (CORS), чтобы позволить приложениям JavaScript за пределами вашего собственного домена использовать GeoServer.

Раскомментируйте следующие <filter> и <filter-mapping> из webapps/geoserver/WEB-INF/web.xml:

<web-app>
  <filter>
      <filter-name>cross-origin</filter-name>
      <filter-class>org.eclipse.jetty.servlets.CrossOriginFilter</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>cross-origin</filter-name>
      <url-pattern>/*</url-pattern>
  </filter-mapping>
</web-app>

Yassine Ech-Charafi 04 янв. 2018, в 16:00

0

Это не добавило антихинга в заголовок ответа, поэтому не сработало
JollyRoger 22 апр. 2018, в 04:14
1

не использовал GeoServer, но этот клип помог мне узнать настройки, которые я должен использовать в приложении, получающем вызов.
Matt Felzani 28 апр. 2018, в 04:53

1

Я столкнулся с этой проблемой, когда DNS-сервер был установлен в 8.8.8.8 (google). На самом деле проблема была в маршрутизаторе, мое приложение пыталось подключиться к серверу через Google, а не локально (для моего конкретного случая). Я удалил 8.8.8.8, и это решило проблему. Я знаю, что эти проблемы решаются с помощью настроек CORS, но, возможно, у кого-то будет такая же проблема, как у меня.

Kirill Gusyatin 15 дек. 2016, в 14:52

0

Я считаю, что отключение CORS от Chrome - это не очень хороший способ, потому что, если вы используете его в ионном режиме, в Mobile Build проблема снова будет повышена.

Так лучше исправить в вашем Backend.

Прежде всего в заголовке заголовка, вам нужно set-

header ('Access-Control-Allow-Origin: *');
header ('Header set Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"');

И если API ведет себя как GET и POST, то и Set в вашем header-

if ($ _SERVER ['REQUEST_METHOD'] == 'OPTIONS') {if (isset ($ _ SERVER ['HTTP_ACCESS_CONTROL_REQUEST_METHOD'])) заголовок ("Access-Control-Allow-Methods: GET, POST, OPTIONS");
if (isset($_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) header("Access-Control-Allow-Headers: if (isset ($ _ SERVER ['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'])) заголовок ("Access-Control-Allow-Headers:
{$_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']}"); exit(0); } {$ _SERVER ['HTTP_ACCESS_CONTROL_REQUEST_HEADERS'}} "); exit (0);}

Shubham Pandey 18 апр. 2018, в 12:05

0

То, что очень легко пропустить...

В проводнике решений, щелкните правой кнопкой мыши api-project. В окне свойств установите "Анонимная аутентификация" на "Включено".

Wes 16 май 2017, в 16:27

-6

Отключите chrome security.Create chrome shortcut right click → properties → target, вставьте это "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-web-security --user -data-DIR = "C: /chromedev"

Nithin 22 май 2018, в 05:23

Ещё вопросы

растерян: вы «настраивали сервер» или это «API отдыха на веб-сервисе Amazon»?
Вы явно не сделали достаточно, чтобы включить CORS на стороне сервера. Опубликовать образец заголовка ответа
В любом случае ваши отрицательные голоса неверны. Он размещает свои файлы на своем локальном компьютере. Не имеет значения, какой конф он делает на заднем плане. Угловой не позволит этот предварительный полет.
@ Браузер E.Maggini не заботится о том, где находится сервер .... он только знает, как сделать запрос ... до тех пор, пока запрос содержит правильные заголовки, браузер может меньше заботиться о том, откуда они берутся. Выпуск абсолютно не связан с угловатыми. Это сам браузер, который делает запрос опций
Спасибо за комментарии, это работало, когда я настраивал браузер на поворот безопасности
@ Андрей Но отключение безопасности - это просто уродливый обходной путь, когда вы идете на компромисс с безопасностью, но это не решает вашу проблему ...
с Node JS эта ссылка на stackoverflow.com/a/40026625/7822663 помогла мне решить проблему
Пожалуйста, обратитесь к этому сообщению для ответа и как решить эту проблему stackoverflow.com/questions/53528643/…
Я согласен, это лучше, чем принятый ответ, хотя будьте осторожны при копировании этих строк, обязательно измените методы и происхождение.
Куда ты это положил? В корне получить конечную точку?
@CodyBugstein и что ставят перед выходом
Это хороший ответ, если вы хотите встроить уязвимости межсайтового скриптинга! Пожалуйста, никогда не делайте этого! Укажите свои домены, к которым вы можете получить доступ, чтобы избежать проблем с безопасностью. CORS существует по причине.
Просто чтобы сделать это более понятным @paqogomez, в вашем методе ConfigureServices: services.AddCors (options => {options.AddPolicy ("AllowSpecificOrigin", builder => {builder.WithOrigins (" localhost" ) .AllowAnyOrigin () .AllowAnyHeader (). AllowAnyMethod ();});}); и в вашем методе Configure: app.UseCors ("AllowSpecificOrigin");
Где я могу найти свой конфигурационный файл Apache?
@ShubhamArya в Linux Debian, расположение по умолчанию: /etc/apache2/apache2.conf
Также проверьте, если у вас есть префикс www
Хороший ответ! Интересно, никаких голосов за это.
Схематично, но работает в тестовой среде
Спасибо! это сэкономило мне время
спасибо, у меня это сработало! в тестах и производственной среде. Даже используя https: //
@atiruz Спасибо за решение. Это работает, когда я добавил header ("Access-Control-Expose-Headers: Content-Length, X-JSON"); строки header ("Access-Control-Expose-Headers: Content-Length, X-JSON");
Я также хочу присоединиться и упомянуть одну большую ошибку, я не думаю, что документы AWS. Скажем, вы используете API-шлюз для прокси-функции вашей лямбда-функции, и вы используете какой-то API в этой лямбда-функции. Если этот API возвращает код успеха не-200, и вы не добавили код успеха не-200 в ответ метода в шлюзе API, вы получите сообщение об ошибке и не увидите свой успешный ответ . Примеры для этого: Sendgrid и Twilio имеют не 200 успешных кодов.
Мы не совсем уверены, почему. Лол. Если кто-нибудь, дайте мне знать!
Работает отлично! Это отличный ответ
Я правильно внедрял CORS на своем сервере, но я забыл добавить метод PUT
Это не добавило антихинга в заголовок ответа, поэтому не сработало
не использовал GeoServer, но этот клип помог мне узнать настройки, которые я должен использовать в приложении, получающем вызов.

E. Maggini · Accepted Answer · 2016-02-23T21-53-00.000Z

Вы сталкиваетесь с проблемами CORS.

Есть несколько способов исправить/обойти это.

Выключите CORS. Например: как отключить cors в chrome
Используйте плагин для вашего браузера
Используйте прокси, такой как nginx. пример того, как настроить

Более подробно, вы пытаетесь получить доступ к api.serverurl.com с локального хоста. Это точное определение междоменного запроса.

Выключив его просто для того, чтобы выполнить свою работу (хорошо, если вы заходите на другие сайты и ставите плохую защиту, если вы посещаете другие сайты), вы можете использовать прокси-сервер, который заставляет ваш браузер думать, что все запросы поступают с локального хоста, когда на самом деле у вас есть локальный сервер, который затем вызывает удаленный сервер.

поэтому api.serverurl.com может стать localhost: 8000/api, и ваш локальный nginx или другой прокси-сервер отправит в правильный пункт назначения.

Теперь по многочисленным просьбам, на 100% больше информации о CORS.... такой же прекрасный вкус!

И для downvoters.... в обход CORS это именно то, что показано для тех, кто просто изучает интерфейс. https://codecraft.tv/courses/angular/http/http-with-promises/

упустил очевидную правильную реализацию CORS
Легко понизить голосование. Менее легко рисковать собой, друг мой. И все это работает именно в среде разработчика.
Это действительно сработало. Я добавил флаг, чтобы отключить веб-безопасность. Для развития это хорошо.
Я добавил плагин Chrome, и он работал в течение нескольких дней. Теперь это не работает.
@Xvegas Вы можете проверить здесь тип вашего сервера. w3.org/wiki/CORS_Enabled
Спасибо, что ты спас мой день. Использовать только первый вариант: C: \ Program Files (x86) \ Google \ Chrome \ Application> chrome.exe --user-data-dir = "C: \ Chrome dev session" --disable-web-security. От: stackoverflow.com/questions/3102819/…
Отключение cors в браузере? Это не решение, это обходной путь, который не помогает тем, кому действительно нужен CORS.
@JonathanSimas Как уже говорилось, это один из нескольких способов продолжить работу по разработке. Обходные решения являются решениями. Вы даже заметите в моем ответе, что я говорю, что это плохая безопасность, и на самом деле просто пинает банку в будущем. ;-)
Как настроить связь с сервером на сервере dev / prod server? Пожалуйста, объясни ..