reCAPTCHA的CORS

Posted 2021-04-02

我正在开发一个我希望将Google的reCAPTCHA包含在内的网站。

如果我将以下<script>标签添加到我的<head>：

<script crossorigin="anonymous" src='https://www.google.com/recaptcha/api.js'> </script>

我收到以下错误：

Access to Script at 'https://www.google.com/recaptcha/api.js' from origin 'http://localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access.

好的，很好，很公平。在localhost上工作时，我总是可以在Chrome上禁用CORS。但该域名是www.google.com。我真的不太愿意将go-control-allow-origin标头发送到google根域上的任何内容 - 感觉就像是一个安全漏洞，你可以开车穿过。

如何通过合理的生产设置解决这个问题，以解决交叉原因问题？

答案

删除crossorigin="anonymous"。

您的页面只需要运行脚本。它无需要求提升权限，因此您的JS可以访问有关它的更多信息。如果它引发了错误，那么无论如何都无法访问Google的服务器以进行纠正。