CORS header 'Access-Control-Allow-Origin' 不匹配...但确实匹配‼

问题描述 投票:0回答:4

我正在用 Java 制作一个非常简单的 JSON API。它实际上是一个提供对象坐标的 Project Zomboid mod。这就是我的 HTTP 处理程序的样子:

public class JSONZomboid implements HttpHandler
{
    @Override
    public void handle(HttpExchange t) throws IOException {
        // HEADERS
        Headers headers = t.getResponseHeaders();
        headers.set("Content-Type", "text/json");   
        headers.set("Access-Control-Allow-Origin", "pzmap.crash-override.net");                 
        t.sendResponseHeaders(200,0);
        //BODY
        OutputStream os = t.getResponseBody();
        os.write("{\n".getBytes());
          // generate JSON here
        os.write("}".getBytes());
        os.close();
    }
}

我想使用用户脚本将其加载到 Project Zomboid 地图项目中,这意味着我需要启用 CORS 才能连接。这是通过简单的代码完成的:

PlayerRenderer.prototype.fetchInfo = function() {
  $.get("http://127.0.0.1:8000/test", {}, this.displayPoints.bind(this));
}

但是我得到这个错误:

警告:跨源请求被阻止:同源策略不允许在 http://127.0.0.1:8000/test 读取远程资源。 (原因:CORS 标头“Access-Control-Allow-Origin”与“pzmap.crash-override.net”不匹配)。

即使在控制台中我也能清楚地看到错误是误导性的:

image description

如果我之前不讨厌 CORS,我现在就会开始讨厌它了。你能告诉我允许来源标头中的实际字符串是什么吗?

javascript http-headers cors firebug
4个回答
16
投票

我为同样的问题苦苦挣扎了几个小时,发现我在我的 

origin
: 
https://foo.com/
的末尾添加了一个正斜杠,而它应该是 
https://foo.com
。 (谈论一个重要的面部表情时刻!)

我的(正在工作的)Express Node.JS 设置:

const express = require('express');
const cors = require('cors');
const app = express();

app.use(cors({
  methods: 'GET,POST,PATCH,DELETE,OPTIONS',
  optionsSuccessStatus: 200,
  origin: 'https://foo.com'
}));
app.options('*', cors());
11
投票

实际问题是 

Access-Control-Allow-Origin
标头应包含协议,而不仅仅是主机名。如果网络浏览器简单地将这部分包含在错误消息中,那就更好了。

所以在上面,做:

headers.set("Access-Control-Allow-Origin", "http://pzmap.crash-override.net");
6
投票

上面的评论 #1 是正确的:CORS 需要 Access-Control-Allow-Origin 标头与客户端的原始请求相匹配(用于端到端 SSL 体验)。因此,在这种情况下,请确保在 Access-Control-Allow-Origin 标头中设置 pzmap.crash-override.net。

两个注意事项:

1- 不管你在网上读到什么,nginx 目前需要将多个条目列为单独的行,a la: add_header 访问控制允许来源“https://developers.google.com”; add_header 访问控制允许来源“https://imasdk.googleapis.com”;

2 - 另外,尽管您可以在线阅读,通配符的使用是不正确的。并非所有客户端(即浏览器)都允许它。

0
投票

如果响应包含多个 

Access-Control-Allow-Origin
标头,也会发生此错误。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.