一尘不染

CORS:当凭据标志为true时,不能在Access-Control-Allow-Origin中使用通配符

django

我有一个涉及的设置

前端服务器(Node.js,域:localhost:3000)<—>后端(Django,Ajax,域:localhost:8000)

浏览器<-webapp <-Node.js(为应用提供服务)

浏览器(webapp)-> Ajax-> Django(服务ajax POST请求)

现在,我的问题是CORS设置,Web应用程序使用它来对后端服务器进行Ajax调用。在Chrome中,我不断

当凭据标志为true时,不能在Access-Control-Allow-Origin中使用通配符。

在Firefox上也不起作用。

我的Node.js设置是:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

而在Django我使用这个中间件 与此相伴

Webapp发出这样的请求:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

因此,webapp发送的请求标头如下所示:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

这是响应头:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里错了?

编辑1:我一直在使用chrome --disable-web-security,但是现在希望事情能够实际进行。

编辑2:答案:

因此,为我解决的django-cors-headers配置:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

阅读 2030

收藏
2020-03-25

共1个答案

一尘不染

这是安全的一部分,你不能这样做。如果要允许凭据,则Access-Control-Allow-Origin不得使用*。你将必须指定确切的协议+域+端口。供参考,请参阅以下问题:

  1. Access-Control-Allow-Origin通配符子域,端口和协议
  2. 跨源资源共享凭证
    除此以外*,它们太宽松了,会打败使用凭据。因此,将其设置为http://localhost:3000http://localhost:8000作为allow origin标头。
2020-03-25