是否可以捕获 CORS 错误？

Posted 2023-03-03

【中文标题】是否可以捕获 CORS 错误？

【英文标题】：Is it possible to trap CORS errors?

【发布时间】：2011-06-18 04:41:27

【问题描述】：

这个问题与跨域资源共享（CORS，http://www.w3.org/TR/cors/）有关。

如果在发出 CORS 请求时出现错误，Chrome（以及 AFAIK 其他浏览器）会将错误记录到错误控制台。示例消息可能如下所示：

XMLHttpRequest 无法加载 http://domain2.example。 Access-Control-Allow-Origin 不允许来源http://domain1.example。

我想知道是否有办法以编程方式获取此错误消息？我尝试将xhr.send() 调用包装在try/catch 中，我还尝试添加onerror() 事件处理程序。两者都没有收到错误消息。

【问题讨论】：

我怀疑这是否可能，因为它是浏览器功能，超出了 javascript 的范围。除此之外，它还可能导致可用于嗅探的安全漏洞。

【参考方案1】：

见：

http://www.w3.org/TR/cors/#handling-a-response-to-a-cross-origin-request

...以及 XHR Level 2 中关于 CORS 的注释：

http://www.w3.org/TR/XMLHttpRequest2/

有意过滤信息。

几个月后编辑：这里的后续评论询问“为什么”；第一个链接中的锚点缺少一些字符，这使得很难看到我指的是文档的哪一部分。

这是一个安全问题 - 试图避免在 HTTP 标头中暴露可能敏感的信息。关于 CORS 的 W3C 链接说：

用户代理必须过滤掉所有响应头，除了那些是简单响应头或字段名称与 Access-Control-Expose-Headers 头的值之一匹配的不区分大小写的 ASCII 头（如果any)，在将响应标头暴露给 CORS API 规范中定义的 API 之前。

该段落包含“简单响应标头”的链接，其中列出了 Cache-Control、Content-Language、Content-Type、Expires、Last-Modified 和 Pragma。所以那些都通过了。 “Access-Control-Expose-Headers 标头”部分允许远程服务器通过在其中列出其他标头来公开其他标头。有关详细信息，请参阅 W3C 文档。

请记住，您有一个来源 - 假设是您在浏览器中加载的网页，运行了一些 JavaScript - 脚本正在向另一个来源发出请求，这通常是不允许的，因为恶意软件可以做到讨厌的事情就是这样。因此，运行脚本并代表其执行 HTTP 请求的浏览器充当了看门人。

浏览器查看来自该“其他来源”服务器的响应，如果它似乎没有“参与”CORS - 所需的标头丢失或格式错误 - 那么我们处于“否”的位置相信。我们无法确定在本地运行的脚本是否善意行事，因为它似乎正在尝试联系不希望以这种方式联系的服务器。浏览器当然不应该通过仅将其整个响应传递给脚本而不进行过滤来“泄漏”来自该远程服务器的任何敏感信息 - 这基本上是允许跨域请求。会出现信息泄露漏洞。

这可能会使调试变得困难，但这是安全性与可用性的权衡，因为“用户”在此上下文中是开发人员，因此安全性被赋予了重要的优先级。

【讨论】：

如果有人解释为什么会这样，这个答案可能会更好一些——即为什么故意过滤 4xx 响应的正文。快速浏览链接的文章并没有帮助。

这真的很好而且必要吗？脚本没有收到错误消息。从中它当然可以得出结论，这是一个 CORS 设置。会是什么？起源？标题字段？我想坏人知道。只有我们其他人不知道。

这个类似的问题有更多关于为什么你甚至没有收到错误消息的信息：***.com/questions/19325314/…

如果我们无法捕捉到它们，我们如何检测它们？

以编程方式，您无法检测到它们。作为调试工程师，您必须查看浏览器的控制台。这是故意的。请参阅上面的@contrebis 回复和指向另一个 *** 问题的链接，向下滚动，关于“为什么”的信息比这里更多。如果您控制有问题的目标服务器，您可以更改其服务器端实现以在 HTTP 标头中提供某种故障性质的指示，但从安全角度来看这是不明智的。