Access-Control-Allow-Origin: "*" n'est pas autorisé lorsque l'indicateur d'informations d'identification est vrai, mais il n'y a pas d'en-tête Access-Control-Allow-Credentials

"informations d'identification indicateur" fait référence aux XMLHttpRequest.withCredentials de la demande qui lui en est faite, non pas à un Access-Control-Allow-Credentials en-tête. Qui a été la source de ma confusion.

Si la demande est withCredentials est trueAccess-Control-Allow-Origin: * ne peut pas être utilisé, même si il n'y a pas de Access-Control-Allow-Credentials en-tête.

Demandes withCredentials:truesur un serveur configuré avec Access-Control-Allow-Origin: * PEUT être utilisémais vous aurez besoin de plus de config sur votre serveur:

À l'aide de Access-Control-Allow-Origin=* sur le serveur, il ne permettra pas l'accès à toutes les ressources (qui requiert des informations d'identification) sur toute xhr de la SCRO demande.

Solutions de contournement:

1. Faire de cette ressource distante sur le serveur accessible sans informations d'identification
   ( et l'utilisation de xhr.withCredentials = false )
2. Créer une règle de réécriture sur
   le serveur, pour modifier l'en-tête de réponse
   Access-Control-Allow-Origin=* à la demande de l'origine. Vous pouvez
   aussi appliquer cette réécriture en vertu de certains critères, par exemple, si
   la demande est à l'aide de certains de port ou il s'agit d'une liste de liste blanche
   domaines.

Voici quelques article qui explique comment le faire sur un serveur IISmais vous pouvez le faire dans de nombreux autres serveurs:

PS: dans le cas de l'utilisation d'informations d'identification, vous aurez également besoin de l'en-tête suivant dans votre réponse du serveur: Access-Control-Allow-Credentials=true

PS2: 1 seule valeur est autorisé à "access-control-allow-origin" paramenter. Si vous essayez d'utiliser par exemple deux domaines: domain1.com domain2.com il ne fonctionnera pas.