让 CORS 与 JQuery 客户端、Node / Express 服务器一起工作的问题

Posted

技术标签:

【中文标题】让 CORS 与 JQuery 客户端、Node / Express 服务器一起工作的问题【英文标题】:Issue getting CORS to work with JQuery client, Node / Express server 【发布时间】:2013-01-17 09:31:58 【问题描述】:

我在使用 cookie 进行跨源资源共享时遇到问题。这是我的设置:

客户:

    $.ajax(
        type: 'POST',
        url: '/processReq',
        data: params,
        xhrFields: withCredentials:true,
        crossDomain: true,
        success: ...
    );

我已经在浏览器中调试了客户端,并验证了 XMLHttpRequest.withCredentials 实际上是真的。

服务器:

我正在设置以下标题:

res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Origin', '*');

我的问题是我无法让浏览器存储会话 cookie,并在后续请求中发送到服务器。

以下是浏览器中的响应标头:


    "server": "nginx/1.2.6",
    "date": "Fri, 01 Feb 2013 23:46:07 GMT",
    "content-type": "application/json; charset=utf-8",
    "content-length": "306",
    "connection": "keep-alive",
    "x-powered-by": "Express",
    "access-control-allow-credentials": "true",
    "access-control-allow-origin": "*",
    "set-cookie": [
        "id=s%3Azm1m...NXe4Lkr9rLw; Domain=api.mydomain.io; Path=/; Expires=Sat, 01 Feb 2014 23:46:07 GMT; HttpOnly"
    ]

每次测试时,我都没有收到发送到服务器的 cookie。我错过了什么吗?非常感谢任何帮助。

【问题讨论】:

【参考方案1】:

您不能将('Access-Control-Allow-Origin', '*')('Access-Control-Allow-Credentials', true) 一起使用。您需要将Access-Control-Allow-Origin 显式设置为一个值。如果您仍需要“*”行为,请以编程方式将值设置为请求 origin 标头。

来自https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS?redirectlocale=en-US&redirectslug=HTTP_access_control:

重要提示:响应凭据请求时,服务器 必须指定域,并且不能使用通配符。

【讨论】:

谢谢。我添加 * 而不是实际来源的原因是我的浏览器(最新的 Chrome)没有传入“来源”标头。也许这是我的问题。什么时候通过'origin'标头?是否需要在客户端设置参数以指示浏览器传递源头? 如果请求不是跨域请求,可能不会发送。您始终可以自己为相应的域名设置标头。我会通过切换你正在使用的域的“*”来让它工作,然后从那里开始。 UGH - 看起来我使用的应用程序(iodocs)构建了一个代理服务器来接收请求,然后从服务器发布。这就是没有起源和cookie问题的原因。不过感谢您的帮助! 没问题。这是 CORS 问题的“简单”解决方案。 ;p【参考方案2】:

另一个完全避开 CORS 的优雅选项是使用隐藏的 iframe 和 window.postMessage

postMessage API 让两个浏览器框架可以跨域通信。基本设计如下:

    domain-1.com上加载主页 主页从domain-2.com加载隐藏的iframe 隐藏 iframe 加载 javascript 以与 domain-2.com API 接口

每当主页希望跨域交谈时,它都会通过隐藏的 iframe 代理请求。没有 CORS 需要处理 - 没有!

一些教程:

http://davidwalsh.name/window-postmessage https://developer.mozilla.org/en-US/docs/DOM/window.postMessage

【讨论】:

以上是关于让 CORS 与 JQuery 客户端、Node / Express 服务器一起工作的问题的主要内容,如果未能解决你的问题,请参考以下文章

Passport Node.js CORS 错误

基于 jQuery AJAX SOAP 的 Web 服务和 CORS(跨源资源共享)[关闭]

cors跨域 + 异步上传文件

启用从 jQuery ajax 到不在 IIS 中托管的 WCF 服务的 CORS POST

jQuery 和 CORS

与 react、express、axios、node 和 mysql 相关的 CORS 问题