将站点转移到 SSL 后，跨域请求被 Ajax 阻止

Posted 2023-03-04

【中文标题】将站点转移到 SSL 后，跨域请求被 Ajax 阻止

【英文标题】：Cross-Origin Request Blocked with Ajax after taking site to SSL

【发布时间】：2015-01-26 02:50:29

【问题描述】：

我们使用 Ruby 2.1.2 和 Rails 3.2.14。 将网站移至 SSL 后，我们在浏览器控制台上收到以下错误，用于 ajax 请求。

Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://sitename.com/xxx/xx?id=xx. This can be fixed by moving the resource to the same domain or enabling CORS.

我们已经尝试添加

headers:  'Access-Control-Allow-Origin': '*' ,
crossDomain: true

但没有效果。这是ajax代码：

$.ajax(
            type: "GET",
            data: id: id, 
            url: path+id,
            headers:  'Access-Control-Allow-Origin': '*' ,
            crossDomain: true,           
            success: function(data)  
);

还有其他建议吗？？

【参考方案1】：

您必须在服务器端设置标头。不在客户端。最简单的方法是在你的 ApplicationController 中使用这样的东西：

after_filter  :set_access_control_headers

def set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
end   

【参考方案2】：

亚历山大的回答是正确的。但是，不建议允许所有域访问您的 api（除非它是公共的）See CORS section of OWASP Cheatsheet

Rails 5 实现

after_action :set_access_control_headers

def set_access_control_headers
  headers['Access-Control-Allow-Origin'] = 'mysite.example.com'
end