如何解决此问题：跨域读取阻塞 (CORB) 阻止了跨域响应

Posted 2023-02-19

【中文标题】如何解决此问题：跨域读取阻塞 (CORB) 阻止了跨域响应

【英文标题】：How To Solve This Problem : Cross-Origin Read Blocking (CORB) blocked cross-origin response

【发布时间】：2019-08-05 04:44:30

【问题描述】：

警告是：

jquery-1.9.1.js:8526 跨域读取阻塞 (CORB) 阻止了 MIME 类型 application/json 的跨域响应 https://www.metaweather.com/api/location/search/?query=lo。有关详细信息，请参阅https://www.chromestatus.com/feature/5629709824032768。

我的代码是：

<!DOCTYPE html>
<html>
<head>
  <title> Search API </title>
  <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.4.0/css/bootstrap.min.css"> 
  <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.3.1/jquery.min.js"> 
  </script>
  <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.4.0/js/bootstrap.min.js"> 
  </script> 
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/font-awesome/4.7.0/css/font-awesome.min.css">
</head>
<body>
   <div class="container">
     <h2>API Search Whether</h2>    
     <div class="row">
        <div class="col-md-6">
            <input type="text" name="name" id="name" class="form-control">
        </div>
        <div class="col-md-2">              
            <button type="button" id="search" class="btn btn-primary btn-lg">Search</button>
        </div>
    </div>
    <br><br><br><br>
    <div class="row">
        <table class="table" border="2px">
            <thead>
                <tr style="color:blue; font-weight:bold;">
                    <td >Domain</td>
                    <td>Suffix</td>
                    <td>Expiry Date</td>
                    <td>Created At</td>
                    <td>Country</td>
                </tr>
            </thead>
            <tbody id="tbody">
            </tbody>
        </table>
    </div>
</div>  
<script src="https://unpkg.com/sweetalert/dist/sweetalert.min.js"> 
</script>
<script src="https://cdn.jsdelivr.net/npm/sweetalert2@8"></script>
<script type="text/javascript">
    $("#search").click(function () 
    
        $("#tbody").html("");           
        var $this = $(this);
        var loadingText = '<i class="fa fa-circle-o-notch fa-spin"></i>Loading...';
        $("#search").attr("disabled", true);
        if ($(this).html() !== loadingText) 
            $this.data('original-text', $(this).html());
            $this.html(loadingText);
           
        var name = $('#name').val();        
        var i;
        $.ajax(
            url: "https://www.metaweather.com/api/location/search/?query="+name,
            dataType:'json',
            headers: function(xhr)
                xhr.setRequestHeader('x-xss-protection' ,'1; mode=block');
                xhr.setRequestHeader('Content-Language' ,'en');
                xhr.setRequestHeader('x-content-type-options', 'nosniff');
                xhr.setRequestHeader('strict-transport- security' , 'max-age=2592000; includeSubDomains');
                xhr.setRequestHeader('Vary' , 'Accept-Language, Cookie');
                xhr.setRequestHeader('Allow' , 'GET, HEAD,OPTIONS');
                xhr.setRequestHeader('x-frame-options' ,'DENY');
                xhr.setRequestHeader('Content-Type' , 'application/json');
                xhr.setRequestHeader('X-Cloud-Trace-Context' , 'f2dd29a5a475c5489584b993c3ce670d');
                xhr.setRequestHeader('Date' , 'Thu, 14 Mar 2019 09:43:04 GMT');
                xhr.setRequestHeader('Server' , 'Google Frontend');
                xhr.setRequestHeader('Content-Length' , '100');
            ,
            success: function (result) 
                var f = result;
                var content = '';
                var i;
                for (i = 0; i <= f[i] ; i++) 
                    content += "<tr>";
                    content = content+"<td>"+f[i].title+"</td>";
                    content = content + "</tr>";
                
                $("#tbody").append(content);
                $this.html($this.data('original-text'));
                $("#search").attr("disabled", false);
            );      
      );
   </script>
</body>

我尝试了最后 4 小时但没有解决方案... 提前谢谢您的帮助...

【问题讨论】：

jquery-1.9.1.js — 危险 jQuery 1.x 和 2.x 已经结束生命周期，并且没有收到安全修复。升级到受支持的 jQuery 版本。

我使用了 jquery-3.3.1.js 但错误@Quentin

先处理first错误信息。在您引用的错误消息之前，它说Access to XMLHttpRequest at 'https://www.metaweather.com/api/location/search/?query=fdf' from origin 'http://localhost:7007' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.

这是我要解决的问题。没有其他错误...@Quentin

我测试的时候有

【参考方案1】：

我的 Chrome 扩展程序最近也遇到了这个问题，并按照 Chrome 团队3. Limit Cross-Origin Requests in Background Pages 的建议将所有 HTTP 请求移到后台页面来关闭它

如果扩展程序的后台页面只是简单地获取和中继内容脚本选择的任何 URL（有效地充当开放代理），则会出现类似的安全问题。也就是说，受感染的渲染器进程可以劫持内容脚本并要求后台页面获取和中继攻击者选择的敏感 URL。相反，后台页面应该只从扩展作者想要的 URL 中获取数据，理想情况下是一小部分 URL，不会将用户的敏感数据置于危险之中。

【参考方案2】：

我不认为这是一个绝对的答案，因为我在我构建的 chrome 扩展上也遇到了同样的错误。现在，根据 CORB (Cross Origin Read Blocking) 的建议，Chrome 团队在 73+ 版本中更新了浏览器的安全性，以防范幽灵和崩溃漏洞。

在此链接上，他们提供了开发人员应如何修复此更新中的错误的方法：https://www.chromium.org/Home/chromium-security/corb-for-developers

这个的父资源是：https://www.chromestatus.com/feature/5629709824032768 当我找到我的修复时，我会用它更新这篇文章。

【讨论】：

你找到解决办法了吗？

链接“chromium.org/Home/chromium-security/…”为我们提供了前进的思路。可能是对内容脚本的 ajax 调用是问题所在？

是的，上面的想法确实奏效了。只是将我的 ajax 调用从内容脚本移动到后台 js 文件并通过 postMessage 触发该函数，它按预期工作