Почему я вижу ошибку «происхождение не разрешено Access-Control-Allow-Origin» здесь? [Дубликат]

Question

Почему я вижу ошибку «происхождение не разрешено Access-Control-Allow-Origin» здесь? [Дубликат]

149

Я вижу следующую ошибку:

Origin http://localhost:8080 is not allowed by Access-Control-Allow-Origin

с помощью этого кода:

var http = new getXMLHttpRequestObject();
var url = "http://gdata.youtube.com/action/GetUploadToken";
var sendXML = '<?xml version="1.0"?><entry xmlns="http://www.w3.org/2005/Atom"'+
    'xmlns:media="http://search.yahoo.com/mrss/'+
    'xmlns:yt="http://gdata.youtube.com/schemas/2007">'+
    '<media:group><media:title type="plain">My First API</media:title>'+
    '<media:description type="plain">First API</media:description>'+
    '<media:category scheme="http://gdata.youtube.com/schemas/2007/categories.cat">People</media:category>'+
    '<media:keywords>first, api</media:keywords></media:group></entry>';
http.open("POST", url, true);
http.setRequestHeader("Authorization", "AuthSub token=" + AccessToken);
http.setRequestHeader("X-GData-Key", "key="+ dev_key);
http.setRequestHeader("Content-Type", "application/atom+xml; charset=UTF-8");

http.onreadystatechange = function() {
    if(http.readyState == 4) {
        alert(http.responseXML);
    }
}
http.send(sendXML);

Что может вызвать это и как его решить?

Muhammad Usman 16 фев. 2012, в 10:09

Источник

1

Вы уверены, что используемая вами точка входа на YouTube активирована jsonp? Вы не можете сделать ajax-вызов во внешний домен, если не используете прокси на стороне сервера или конечный компонент jsonp.
andreapier 16 фев. 2012, в 11:07

Теги:

javascript

ajax

xmlhttprequest

cors

youtube-api

11 ответов

88

XMLHttpRequest не позволит вам достичь localhost:8080 из-за "той же политики происхождения".

Вы можете разрешать запросы из современных браузеров, добавляя заголовок к вашему ответу на localhost:8080:

Access-Control-Allow-Origin: *

Вы можете сделать это, добавив директивы на свой HTTP-сервер или добавив заголовки через серверный код (PHP, Ruby,...).

Подробнее о запросах ajax для Cross-Origin на https://developer.mozilla.org/en/http_access_control

Sunny 17 фев. 2012, в 12:56

15

Если я правильно понимаю, то сервер API или удаленный ресурс (в данном случае сервер YouTube) должен установить заголовок, т. Е. Это должен быть хост API, а не вызывающий API.
0x4a6f4672 23 май 2012, в 13:15
1

@ 0x4a6f4672 Правильно!
Sunny 13 июль 2012, в 14:39
2

Кто-нибудь еще находит это запутанным? Используя Fiddler, я вижу, как выполняется запрос и возвращается верный результат ... и затем я получаю исключение. Таким образом, сервер, кажется, не заботится вообще. Все же сервер - тот, который должен быть настроен?
Sailing Judo 15 май 2013, в 14:21
2

Здесь серверу нет дела. Это браузер, который пытается защитить пользователей, только возвращая запросы, которые находятся в списке разрешений сервера.
Sunny 17 май 2013, в 08:40
0

нужно ли вносить изменения в файл httpd.conf или php.ini?
Hitesh 11 март 2014, в 11:28
0

Вы должны добавить его только в ваши ответы Ajax. Вот как вы можете добавить заголовок в PHP: header('Access-Control-Allow-Origin: *');
Sunny 28 март 2014, в 11:49
0

@SailingJudo Сервер должен быть настроен, чтобы сообщать браузеру, что он должен разрешить этот междоменный ресурс. Браузер применяет ту же политику происхождения, но сервер сообщает браузеру, как и когда применять ее. Сервер может отправить сообщение: «Хорошо, браузер, на этот раз ты можешь позволить JavaScript увидеть ответ». Я написал об этом более подробно в конце первого раздела моего ответа о том, как работает заголовок Access-Control-Allow-Origin?
apsillers 04 март 2015, в 14:14
0

Имеет ли это смысл? Поэтому я пишу вредоносное ПО и устанавливаю свой собственный сервер с Allow-Origin: *, а затем отправляю свой вредоносный скрипт. Что они пытаются здесь защитить? Это должен быть клиент, который решает, что является законным, а что нет, а не сервер!
user1156544 16 нояб. 2016, в 15:25
0

Это препятствует тому, чтобы законные браузеры сделали непреднамеренные запросы законным серверам. С помощью этой защиты браузер может запретить вредоносным веб-сайтам выполнять запрос ajax на частные URL-адреса, которые должны быть доступны только текущему пользователю.
Sunny 18 нояб. 2016, в 11:12
0

Что делать, если вы не являетесь владельцем сервера? Вы можете преодолеть эту проблему, будучи вызывающим API без каких-либо полномочий для изменения сервера?
FedericoCapaldo 19 май 2017, в 03:00
1

@FedericoCapaldo в этом случае вы создадите свой собственный API, действующий как прокси, для пересылки запросов в исходный API.
Sunny 19 май 2017, в 15:41
0

см. stackoverflow.com/a/17098221/3380951 для примера PHP
Jeff Xiao 30 сен. 2017, в 08:44

Показать ещё 10 комментариев

38

Если вы используете Chrome, простым решением (только для целей разработки) является использование опции --disable-web-security.

Deqing 20 июль 2012, в 03:30

52

Что вы , конечно , только хотите, чтобы сделать для целей развития, никогда при серфинге
kynan 27 июль 2012, в 20:35
0

Договорились @kynan и обновили мой ответ.
Deqing 27 нояб. 2012, в 14:07
0

Жаль, что я знал это сегодня раньше. для производственного развертывания мы используем Nginx, поэтому его проще всего обрабатывать заголовками CORS, иначе они могут находиться в одном домене: порт в любом случае. это только для местного разработчика, который я хотел обойти.
felix 05 июль 2013, в 13:46
0

как включить его обратно? (как идти назад?)
mike 20 май 2017, в 23:01

Показать ещё 2 комментария

10

Добавьте решение global.asax в ваше решение.

Добавить

HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", "*");

в

protected void Application_BeginRequest(object sender, EventArgs e)
{
}

Ammar Khan 14 дек. 2012, в 12:52

0

Почему люди понизили это? Это способ добиться этого в ASP.net
Layinka 15 дек. 2014, в 19:10
0

Я попробовал это, но не сработало. все еще получаю ошибку. используя MVC5
Ranjith Varadan 10 май 2016, в 06:36
0

Добавление в Application_BeginRequest позволит перекрестные вызовы для всех методов API. Что если я хочу сделать это для одного веб-метода?
Himalaya Garg 13 нояб. 2018, в 07:40

Показать ещё 1 комментарий

9

Если вы используете apache, это работает: поместите это в/создайте файл .htaccess в свой общедоступный root и добавьте любые другие расширения файлов, которые могут вам понадобиться.

<FilesMatch "\.(ttf|otf|eot|woff|jpg|png|jpeg|gif|js|json|html|css)$">
  <IfModule mod_headers.c>
    Header set Access-Control-Allow-Origin "*"
  </IfModule>
</FilesMatch>

Eric Leroy 08 нояб. 2013, в 06:03

7

Для локальной разработки вы можете использовать инструмент для изменения заголовков ответов HTTP. Например Charles может сделать это с помощью включенного инструмента перезаписи: Rewrite Tool

Просто добавьте новое правило для целевого домена/местоположения:

Type: Add Header
Where: Response
Replace
     Name: Access-Control-Allow-Origin
     Value: *
Replace All

Christian Müller 19 июль 2013, в 15:17

4

Здесь нам нужно сделать две вещи для Apache Http

1) В файле httpd.config раскомментируйте этот файл

LoadModule headers_module modules/mod_headers.so

2) Добавьте эту строку внизу.

Header set Access-Control-Allow-Origin "*"

Sireesh Yarlagadda 02 май 2016, в 16:20

3

Если вы используете Google Chrome в качестве браузера, вы можете добавить расширение CORS и активировать его, он решит проблему с отверстием, не изменив ничего в вашем коде.

Meriam 17 дек. 2014, в 16:25

2

Если вы из фона java, одним из возможных решений может быть создание сервлета, который вызывает веб-службы для вашего javascript. что-то вроде приведенного ниже кода в методе GET (ваш выбор)...

JsonElement jelement;
    JsonArray jarray;
    try {
        URL url = new URL("http://rest."YOUR URL"#ba0482");
        URLConnection connection = url.openConnection();
        connection.setDoInput(true);
        InputStream inStream = connection.getInputStream();
        BufferedReader input = new BufferedReader(new InputStreamReader(inStream));

        jelement = new JsonParser().parse(input);

        jarray = jelement.getAsJsonArray();

        response.setContentType("application/json");
        PrintWriter out = response.getWriter();
        out.print(jarray);
        out.flush();
    } catch (FileNotFoundException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    }
}

Теперь в javascript просто укажите url как имя сервлета!!

Saty 09 янв. 2013, в 16:05

2

Несвязанный с этим конкретным вопросом, но для любого в этой ситуации с использованием jQuery... Эта ошибка также возникает, если вы пытаетесь сделать запрос JSONP с использованием jQuery и опустить параметр обратного вызова: callback=?

danwellman 25 сен. 2012, в 20:59

1

Магический параметр может иметь и другие имена. Документация: api.jquery.com/jQuery.getJSON/#jsonp
Gruber 14 дек. 2012, в 10:07

0

Я сталкиваюсь с тем же сообщением об ошибке при использовании ajax для доступа к php-странице (javascript и php файлы находятся на одном сервере).

Причина в том, что я указал IP-адрес как домен в своем JavaScript. Это заставило браузер полагать, что вызов php файла находится на другом сервере.

Так простое решение избавиться от этого сообщения об ошибке. a) проверить, что javascript и php файлы находятся на одном сервере b) убедитесь, что URL-адрес (в частности, домен) в вашем JavaScript (например, /myJavaScript.js) ajax отражает ваш URL-адрес сервера (например, http://www.smartana.co.uk/myServer.php).

Wolfi 30 май 2015, в 13:40

Ещё вопросы

Вы уверены, что используемая вами точка входа на YouTube активирована jsonp? Вы не можете сделать ajax-вызов во внешний домен, если не используете прокси на стороне сервера или конечный компонент jsonp.
Если я правильно понимаю, то сервер API или удаленный ресурс (в данном случае сервер YouTube) должен установить заголовок, т. Е. Это должен быть хост API, а не вызывающий API.
Кто-нибудь еще находит это запутанным? Используя Fiddler, я вижу, как выполняется запрос и возвращается верный результат ... и затем я получаю исключение. Таким образом, сервер, кажется, не заботится вообще. Все же сервер - тот, который должен быть настроен?
Здесь серверу нет дела. Это браузер, который пытается защитить пользователей, только возвращая запросы, которые находятся в списке разрешений сервера.
нужно ли вносить изменения в файл httpd.conf или php.ini?
Вы должны добавить его только в ваши ответы Ajax. Вот как вы можете добавить заголовок в PHP: header('Access-Control-Allow-Origin: *');
@SailingJudo Сервер должен быть настроен, чтобы сообщать браузеру, что он должен разрешить этот междоменный ресурс. Браузер применяет ту же политику происхождения, но сервер сообщает браузеру, как и когда применять ее. Сервер может отправить сообщение: «Хорошо, браузер, на этот раз ты можешь позволить JavaScript увидеть ответ». Я написал об этом более подробно в конце первого раздела моего ответа о том, как работает заголовок Access-Control-Allow-Origin?
Имеет ли это смысл? Поэтому я пишу вредоносное ПО и устанавливаю свой собственный сервер с Allow-Origin: *, а затем отправляю свой вредоносный скрипт. Что они пытаются здесь защитить? Это должен быть клиент, который решает, что является законным, а что нет, а не сервер!
Это препятствует тому, чтобы законные браузеры сделали непреднамеренные запросы законным серверам. С помощью этой защиты браузер может запретить вредоносным веб-сайтам выполнять запрос ajax на частные URL-адреса, которые должны быть доступны только текущему пользователю.
Что делать, если вы не являетесь владельцем сервера? Вы можете преодолеть эту проблему, будучи вызывающим API без каких-либо полномочий для изменения сервера?
@FedericoCapaldo в этом случае вы создадите свой собственный API, действующий как прокси, для пересылки запросов в исходный API.
см. stackoverflow.com/a/17098221/3380951 для примера PHP
Что вы , конечно , только хотите, чтобы сделать для целей развития, никогда при серфинге
Договорились @kynan и обновили мой ответ.
Жаль, что я знал это сегодня раньше. для производственного развертывания мы используем Nginx, поэтому его проще всего обрабатывать заголовками CORS, иначе они могут находиться в одном домене: порт в любом случае. это только для местного разработчика, который я хотел обойти.
как включить его обратно? (как идти назад?)
Почему люди понизили это? Это способ добиться этого в ASP.net
Я попробовал это, но не сработало. все еще получаю ошибку. используя MVC5
Добавление в Application_BeginRequest позволит перекрестные вызовы для всех методов API. Что если я хочу сделать это для одного веб-метода?
Магический параметр может иметь и другие имена. Документация: api.jquery.com/jQuery.getJSON/#jsonp

andreapier · Accepted Answer · 2012-02-16T14-07-00.000Z

Javascript ограничен при выполнении запросов ajax за пределами текущего домена.

Пример 1: ваш домен example.com и вы хотите сделать запрос на test.com = > вы не можете.
Пример 2: ваш домен example.com и вы хотите сделать запрос на inner.example.com = > вы не можете.
Пример 3: ваш домен example.com:80, и вы хотите сделать запрос example.com:81 = > , вы не можете
EX 4: ваш домен example.com и вы хотите сделать запрос example.com = > вы можете.

Javascript ограничивается "той же политикой происхождения" по соображениям безопасности, чтобы вредоносный script не мог связаться с удаленным сервером и отправлять конфиденциальные данные.

jsonp - это другой способ использования javascript. Вы делаете запрос, и результаты инкапсулируются в функцию обратного вызова, которая запускается на клиенте. Это то же самое, что связывать новый тег script в головной части вашего html (вы знаете, что вы можете загружать скрипты из разных доменов, кроме ваших здесь).
Однако для использования jsonp сервер должен быть настроен правильно. Если это не так, вы не можете использовать jsonp, и вы ДОЛЖНЫ полагаться на прокси-сервер на стороне сервера (PHP, ASP и т.д.). Есть много руководств, связанных с этой темой, просто google it!

Спасибо! Я не знал, что это произойдет на том же хосте, но в другом порту.
Могу ли я использовать AmplifyJS для отправки на другой домен?
Я никогда не использовал AmplifyJS, если не знаю. Если это всего лишь библиотека Javascript (как jQuery), я очень сомневаюсь, что вы можете избежать jsonp. Если он также имеет серверную часть, это все еще возможно. Я не могу сказать больше, извините.
Разве jsonp не работает только для запросов GET ?
В моем случае я пытался подключиться к другой базе данных в строке подключения EF, что привело к ошибке CORS (ASP.NET Web API)