关于javascript：XMLHttpRequest无法加载XXX没有’Access-Control-Allow-Origin’标头

XMLHttpRequest cannot load XXX No 'Access-Control-Allow-Origin' header

关于同一原产地政策

我有一个grunt进程来启动express.js服务器的实例。直到现在，它才开始提供一个空白页面，在开发人员的控制台中的错误日志中显示了以下内容(最新版本)：

XMLHttpRequest cannot load https://www.example.com/
No 'Access-Control-Allow-Origin' header is present on the requested
resource. Origin 'http://localhost:4300' is therefore not allowed access.

是什么阻止我访问页面？

相关讨论

关于同一原产地政策

这是同一原产地政策。它是由浏览器实现的安全功能。好的。

您的特定案例展示了它是如何为xmlhttprequest实现的(如果使用fetch，您将得到相同的结果)，但它也适用于其他事情(例如加载到上的图像或加载到</wyn>中的文档)，只是实现略有不同。好的。<P>(奇怪的是，它也适用于CSS字体，但这是因为found foundries坚持使用DRM，而不是同一源站策略通常涉及的安全问题)。好的。<P>演示SOP需求的标准方案可以用三个字符来演示：好的。</p> <ul> <li>爱丽丝是个有网络浏览器的人</li> <li>Bob运行一个网站(在您的示例中是<wyn>https://www.[website].com/</wyn>)</li> <li>Mallory运行一个网站(在您的示例中是<wyn>http://localhost:4300</wyn>)</li> </ul> <p><P>爱丽丝登录了鲍勃的网站，那里有一些机密数据。可能是公司内部网(只能访问局域网上的浏览器)或她的网上银行业务(只能通过输入用户名和密码后获得的cookie访问)。好的。<P>Alice访问Mallory的网站，该网站有一些JavaScript，使Alice的浏览器向Bob的网站发出HTTP请求(通过其IP地址和cookies等)。这可能和使用<wyn>XMLHttpRequest</wyn>和读取<wyn>responseText</wyn>一样简单。好的。<P>浏览器的同一源代码策略阻止javascript读取Bob的网站返回的数据(Bob和Alice不希望Mallory访问)。(请注意，您可以使用<wyn><img></wyn>元素跨源显示图像，因为图像的内容不会暴露于javascript(或mallory)…除非您将画布放入混合中，在这种情况下，您将生成相同的源冲突错误)。好的。为什么在你认为不应该的情况下同样的原产地政策适用？<P>对于任何给定的URL，可能不需要SOP。一些常见的情况是：好的。</p> <ul> <li>爱丽丝、鲍勃和马洛里是同一个人。</li> <li>鲍勃提供完全公开的信息</li> </ul> <p><P>…但是浏览器无法知道上面的任何一个是否正确，因此信任不是自动的，并且应用了SOP。在浏览器将数据提供给其他网站之前，必须明确授予权限。好的。为什么同一源策略只适用于网页中的javascript？<P>浏览器扩展、浏览器开发人员工具和应用程序(如邮差)中的"网络"选项卡是已安装的软件。他们不会将数据从一个网站传递到属于不同网站的javascript，只是因为您访问了不同的网站。安装软件通常需要更明智的选择。好的。<P>没有第三方(Mallory)被视为风险。好的。为什么不用JS就可以在页面中显示数据？<P>在许多情况下，Mallory的站点会导致浏览器从第三方获取数据并显示它(例如，通过添加<wyn><img></wyn>元素来显示图像)。虽然Mallory的javascript不可能读取该资源中的数据，但是只有Alice的浏览器和Bob的服务器可以做到这一点，因此它仍然是安全的。好的。科斯<P>错误消息中引用的<wyn>Access-Control-Allow-Origin</wyn>头是CORS标准的一部分，该标准允许Bob明确授予Mallory的站点通过Alice的浏览器访问数据的权限。好的。<P>一个基本的实现只包括：好的。</p> <div class="codecolorer-container javascript dawn" style="overflow:auto;white-space:nowrap;width:100%;"><table cellspacing="0" cellpadding="0"><tbody><tr><td class="line-numbers"><div>1<br /></div></td><td><div class="javascript codecolorer">Access<span class="sy0">-</span>Control<span class="sy0">-</span>Allow<span class="sy0">-</span>Origin<span class="sy0">:</span> <span class="sy0">*</span></div></td></tr></tbody></table></div> <p><P>…允许任何网站读取数据。好的。</p> <div class="codecolorer-container javascript dawn" style="overflow:auto;white-space:nowrap;width:100%;"><table cellspacing="0" cellpadding="0"><tbody><tr><td class="line-numbers"><div>1<br /></div></td><td><div class="javascript codecolorer">Access<span class="sy0">-</span>Control<span class="sy0">-</span>Allow<span class="sy0">-</span>Origin<span class="sy0">:</span> http<span class="sy0">:</span><span class="co1">//example.com/</span></div></td></tr></tbody></table></div> <p><P>…将只允许特定站点访问它，并且您可以基于<wyn>Origin</wyn>请求头动态生成它，以允许多个(而不是全部)站点访问它。好的。<P>如何设置响应头的细节取决于Bob的HTTP服务器和/或服务器端编程语言。对于各种常见配置，有一组指南可能会有所帮助。好的。<P><img src="//i1.wp.com/i.stack.imgur.com/VXM0t.png" alt="Model of where CORS rules are applied">好的。<P>注意：有些请求很复杂，在浏览器发送JS想要发出的get/post/put/任何请求之前，服务器必须响应一个飞行前选项请求。只向特定URL添加<wyn>Access-Control-Allow-Origin</wyn>的CORS的实现经常会被这种情况绊倒。好的。<P>显然，通过CORS授予许可是Bob唯一能做的事情，只有在以下两种情况下：好的。</p> <ul> <li>数据不是私有的或</li> <li>马洛里值得信任</li> </ul> <p><P>如果您也是这个场景中的Bob，那么如何添加CORS权限头的具体情况将取决于您选择的HTTP服务器软件和用于服务器端编程的语言(如果有的话)的某种组合。好的。<P>Mallory无法添加此标题，因为她必须获得Bob网站的许可，如果她能够授予自己许可，那将是愚蠢的(到使SOP无用的程度)。好的。提示"飞行前响应"的错误消息<P>一些跨源请求是预先设定的。好的。<P>当(粗略地说)您试图提出跨源请求时，会发生这种情况：好的。</p> <ul> <li>包括凭证，如cookie</li> <li>无法使用常规HTML表单生成(例如，具有自定义头或无法在表单的<wyn>enctype</wyn>中使用的内容类型)。</li> </ul> <p><P>注意，"自定义头"包括<wyn>Access-Control-Allow-Origin</wyn>和其他CORS响应头。这些不属于请求，不做任何有用的事情(在权限系统中，您可以授予自己权限的意义是什么？)，并且只能出现在响应上。好的。<P>在这些情况下，此答案的其余部分仍然适用，但您还需要确保服务器能够侦听飞行前请求(它将是<wyn>OPTIONS</wyn>(而不是<wyn>GET</wyn>、<wyn>POST</wyn>或您试图发送的任何内容)，并使用正确的<wyn>Access-Control-Allow-Origin</wyn>头(也可以是<wyn>Access-Control-Allow-Methods</wyn>和<wyn>Access-Control-Allow-Headers</wyn>对其作出响应，以允许您的特定HTTP方法或头。好的。CORS的替代方案JSONP<P>Bob还可以使用类似于JSONP的黑客提供数据，这就是人们在CORS出现之前如何跨源代码Ajax。好的。<P>它的工作原理是以javascript程序的形式呈现数据，将数据注入Mallory的页面。好的。<P>它要求Mallory信任Bob不提供恶意代码。好的。<P>注意共同的主题：提供数据的站点必须告诉浏览器第三方站点可以访问它发送给浏览器的数据。好的。<P>由于jsonp的工作方式是附加一个<wyn></wyn>元素，以javascript程序的形式加载数据，该程序调用页面中已有的函数，因此尝试在返回json的URL上使用jsonp技术将失败(通常是corb错误)，因为json不是javascript。好的。将两个资源移动到一个源<P>如果JS运行的HTML文档和被请求的URL位于同一个源站(共享相同的方案、主机名和端口)，那么它们默认为同一源站策略授予权限。不需要CORS。好的。代理人<P>Mallory可以使用服务器端代码来获取数据(然后她可以像往常一样通过HTTP将数据从服务器传递到Alice的浏览器)。好的。<P>它也可以：好的。</p> <ul> <li>添加CORS标题</li> <li>将响应转换为JSONP</li> <li>与HTML文档在同一源文件上存在</li> </ul> <p><P>该服务器端代码可以由第三方(如YQL)托管。好的。<P>Bob不需要为实现这一点授予任何权限。好的。<P>这很好，因为那只是马洛里和鲍勃之间的事。Bob无法认为Mallory是Alice，也无法向Mallory提供Alice和Bob之间应保密的数据。好的。<P>因此，Mallory只能使用此技术读取公共数据。好的。编写Web应用以外的内容<P>如"为什么同一源代码策略只适用于网页中的javascript"一节所述，您可以通过不在网页中编写javascript来避免SOP。好的。<P>这并不意味着您不能继续使用JavaScript和HTML，但您可以使用其他机制(如node webkit或phonegap)来分发它。好的。浏览器扩展<P>浏览器扩展可以在应用同一源策略之前将CORS头插入响应中。好的。<P>这些功能对于开发很有用，但对于生产站点来说并不实际(要求站点的每个用户安装一个禁用浏览器安全功能的浏览器扩展是不合理的)。好的。<P>它们也倾向于只处理简单的请求(在处理飞行前选项请求时失败)。好的。<P>与本地开发服务器具有适当的开发环境通常是更好的方法。好的。其他安全风险<P>请注意，SOP/CORS不能缓解需要独立处理的XSS、CSRF或SQL注入攻击。好的。总结</p> <ul> <li>在您的客户端代码中，没有什么可以使CORS能够访问其他人的服务器。</li> <li>如果控制服务器，则请求将被发送到：向其添加CORS权限。</li> <li>如果你对控制它的人很友好：让他们向它添加CORS权限。</li> <li>如果是公共服务：请阅读他们的API文档，了解他们对使用客户端JavaScript访问它的看法。他们可能会告诉您使用特定的URL或使用JSONP(或者根本不支持)。</li> <li>如果以上都不适用：让浏览器与您的服务器对话，然后让您的服务器从另一个服务器获取数据并传递。(还有第三方托管服务，它们将CORS头附加到您可以使用的公共可访问资源上)。</li> </ul> <p>好啊。</p> <div class="suo-content"><div style="text-align: right;"> <div class="xControl"><i class="fa fa-caret-right"></i> <span class="xTitle"></span> <a href="javascript:void(0)" class="collapseButton xButton">相关讨论</a> <div style="clear: both;"></div> </div> <div class="xContent" style="display: none;"></p> <ul> <li>如果我运行本地局域网一个Web服务器，并尝试从IP/URL进行Ajax加载，这会起作用吗？我还没试过。因为我的Web服务器重新获取json数据将是一个mcu</li> <li>@ciastopiekarz-适用于正常的相同来源/不同来源规则。适用正常网络路由规则。</li> <li>我读过最完整的答案，而不仅仅是关于CORS的链接。</li> <li>@昆廷-哇！+ 1！所以我要理解的是，如果Alice使用CORS扩展，服务器会认为她的HTTP调用不是来自javascript，而是来自浏览器扩展，并将其视为一个正常的相同来源的请求？</li> <li>@snippetkid-不。在通常情况下，服务器将发送永远响应的CORS头，而不关心请求来自何处。浏览器的责任是允许或拒绝根据响应上的CORS头访问JS的数据。(当涉及到飞行前请求时，服务器上的事情变得有点复杂)</li> <li>'您在使用什么语言进行服务器端编程(如果有的话)。'您能为我清除这个问题吗？服务器端编程需要一种语言。</li> <li>@surajjain-您可以通过配置HTTP服务器来选择添加头文件，而根本不进行任何编程。</li> <li>@据我所知，我在Security StackExchange的SOP上的这个答案是错误的，所以我编辑了它，请你核实编辑，我从你的答案和其他一些领域了解到了SOP，不确定我写的是否正确。</li> <li>所以我不能编辑ops问题，他显然拒绝向其添加任何建议，但即使代理涉及cookie，它也能带来好处。即使代理是完全透明的，Alices浏览器(假设它正常工作)也不会向Mallorys代理发送(bobs)cookie，因此bobs服务器没有理由相信他在和Alice交谈。随后，它不会向Mallory操作的代理发送任何与Alice相关的信息。-以防万一有人像我一样好奇，忘了吃饼干：)</li> </ul> <p></div> </div></p></div> <hr><P>目标服务器必须允许跨源请求。为了允许它通过Express，只需处理HTTP选项请求：</P></p> <div class="codecolorer-container javascript dawn" style="overflow:auto;white-space:nowrap;width:100%;"><table cellspacing="0" cellpadding="0"><tbody><tr><td class="line-numbers"><div>1<br />2<br />3<br />4<br />5<br />6<br />7<br /></div></td><td><div class="javascript codecolorer">app.<span class="me1">options</span><span class="br0">(</span><span class="st0">'/url...'</span><span class="sy0">,</span> <span class="kw1">function</span><span class="br0">(</span>req<span class="sy0">,</span> res<span class="sy0">,</span> next<span class="br0">)</span><span class="br0">{</span><br />    res.<span class="me1">header</span><span class="br0">(</span><span class="st0">'Access-Control-Allow-Origin'</span><span class="sy0">,</span><span class="st0">"*"</span><span class="br0">)</span><span class="sy0">;</span><br />    res.<span class="me1">header</span><span class="br0">(</span><span class="st0">'Access-Control-Allow-Methods'</span><span class="sy0">,</span> <span class="st0">'POST'</span><span class="br0">)</span><span class="sy0">;</span><br />    res.<span class="me1">header</span><span class="br0">(</span><span class="st0">"Access-Control-Allow-Headers"</span><span class="sy0">,</span><span class="st0">"accept, content-type"</span><span class="br0">)</span><span class="sy0">;</span><br />    res.<span class="me1">header</span><span class="br0">(</span><span class="st0">"Access-Control-Max-Age"</span><span class="sy0">,</span><span class="st0">"1728000"</span><span class="br0">)</span><span class="sy0">;</span><br />    <span class="kw1">return</span> res.<span class="me1">sendStatus</span><span class="br0">(</span><span class="nu0">200</span><span class="br0">)</span><span class="sy0">;</span><br /> <span class="br0">}</span><span class="br0">)</span><span class="sy0">;</span></div></td></tr></tbody></table></div> <p><center> <script src="/c1.js"></script></center></p> <hr><P>因为在接受的答案中没有提到这一点。</P></p> <ul> <li>对于这个确切的问题，情况并非如此，但可能有助于其他搜索该问题的人。</li> <li>在某些情况下，您可以在客户机代码中这样做来防止CORS错误。</li> </ul> <p><P>您可以利用简单的请求。为了执行"简单请求"，请求需要满足几个条件。例如，只允许使用<wyn>POST</wyn>、<wyn>GET</wyn>和<wyn>HEAD</wyn>方法，并且只允许某些给定的头(您可以在这里找到所有条件)。</P><P>如果您的客户机代码没有显式地在请求中使用固定值设置受影响的头(例如"accept")，那么可能会出现一些客户机使用一些"非标准"值自动设置这些头，导致服务器不将其作为简单请求接受-这将给您一个CORS错误。</P></p> <hr><P>这是因为CORS错误。CORS代表跨源资源共享。简单来说，当我们试图从另一个域访问域/资源时，就会发生此错误。</P><P>在这里阅读更多信息：jquery的CORS错误</P><P>要解决此问题，如果您有权访问其他域，则必须允许服务器中的访问控制允许源站。这可以添加到标题中。您可以为所有请求/域或特定域启用此功能。</P><P>如何使跨源资源共享(CORS)后请求工作</P><P>这些链接可能有帮助</P></p> <hr><P>这个CORS问题没有进一步阐述(其他原因)。</P><P>我现在遇到这个问题的原因不同。我的前端也返回"访问控制允许来源"头错误。</P><P>只是我指出了错误的URL，所以这个标题没有正确反映(我一直认为是这样)。localhost(前端)->调用非安全HTTP(假定为HTTPS)，确保前端的API端点指向正确的协议。</P></p> <hr><P>你应该让CORS工作。</P></p> <p><center> <script src="/c2.js"></script></center></p> <hr></div> <div class="recommend-post mb30"> <ul class="widget-links"> <li><a href="/9310112/" target="_blank">关于javascript：为什么我在这里看到“Access-Control-Allow-Origin不允许来源”错误？</a></li> <li><a href="/1653308/" target="_blank">关于.htaccess：Access-Control-Allow-Origin多个源域？</a></li> <li><a href="/3595515/" target="_blank">关于javascript：XmlHttpRequest错误：Access-Control-Allow-Origin不允许使用Origin null</a></li> <li><a href="/10636611/" target="_blank">关于javascript：Access-Control-Allow-Origin标头如何工作？</a></li> <li><a href="/18310394/" target="_blank">关于node.js：否Access-Control-Allow-Origin - 节点/ Apache端口问题</a></li> <li><a href="/20035101/" target="_blank">关于jquery：当Postman没有时，为什么我的JavaScript会在请求的资源上出现“NoAccess-Control-Allow-Origin标头”错误？</a></li> <li><a href="/20433655/" target="_blank">关于javascript：请求的资源上没有“Access-Control-Allow-Origin”标头。因此不允许原点...访问</a></li> <li><a href="/35588699/" target="_blank">关于javascript：对预检请求的响应不通过访问控制检查</a></li> <li><a href="/43871637/" target="_blank">关于javascript：当尝试从REST API获取数据时，请求的资源上没有“Access-Control-Allow-Origin”标头</a></li> </ul> </div> </div> <script src="/ce.js"></script> <div class="clear"></div> <div class="social-main"> <div class="clear"></div> </div> <div class="clear"></div> </div> </article> <div class="ad-pc ad-site"> </div> </main> </div> <div id="sidebar" class="widget-area"> <div class="sidebar-roll"></div> <aside id="text-3" class="widget widget_text"> <div class="textwidget"><p><script src="/ce.js"></script></p> </div> <div class="clear"></div></aside> <div class="sidebar-roll"> <aside id="text-2" class="widget widget_text"> <div class="textwidget"><p><script src="/auto.js"></script></p> </div> <div class="clear"></div></aside> </div> </div> </div> <div class="clear"></div> </div> <div id="footer" alog-group="log-footer"> <div class="foot"> <div class="ps"> <div class="p p2"> <div class="clear"></div> <div class="site-info"> Copyright ©  码农家园联系：ddyu2x@gmail.com </div> </div> </div> </div> </div> <div class="tools"> <a class="tools_top" title="返回顶部"></a> </div> <script type="text/javascript" src="https://www.codenong.com/wp-content/themes/Nana/js/superfish.js"></script> <script type='text/javascript' src='https://www.codenong.com/wp-includes/js/wp-embed.min.js?ver=4.9.15'></script> </body></html>