AngularJS effectue une requête HTTP pour un cross-origin resource

Je suis en train de configuration AngularJS pour communiquer avec un cross-origin resource où l'actif de l'hôte qui offre mes fichiers de modèle se trouve sur un domaine différent et, par conséquent, la demande XHR qui angulaire effectue doit être inter-domaine. J'ai ajouté la appropriée de la SCRO en-tête de mon serveur la requête HTTP pour faire ce travail, mais il ne semble pas fonctionner. Le problème est que lorsque je passe en revue les requêtes HTTP dans mon navigateur (chrome) la demande adressée à l'actif du fichier est une des OPTIONS de demande (il devrait être d'une requête GET).

Je ne suis pas sûr de savoir si c'est un bug dans AngularJS ou si je dois configurer quelque chose. Ce que je comprends de la XHR wrapper peut pas en faire une des OPTIONS de requête HTTP, donc il semble que le navigateur est à essayer de comprendre si c'est "autorisé" à télécharger l'actif d'abord avant qu'il effectue la requête GET. Si c'est le cas, dois-je créer de la SCRO en-tête (Access-Control-Allow-Origin: http://asset.host...) à l'actif de l'hôte ainsi?

InformationsquelleAutor matsko | 2012-08-24
  1. 222

    OPTIONS de demande sont en aucun cas une AngularJS bug, c'est de cette façon Cross-Origin Resource sharing standard mandats navigateurs de se comporter. Veuillez vous référer à ce document: https://developer.mozilla.org/en-US/docs/HTTP_access_control, où, dans la section "Présentation" il dit:

    Le Cross-Origin Resource sharing ouvrages de référence par l'ajout de nouveaux HTTP
    les en-têtes de permettre aux serveurs de décrire l'ensemble des origines qui sont
    autorisé à lire les informations à l'aide d'un navigateur web. En outre,
    pour les méthodes de demande de HTTP qui peuvent provoquer des effets secondaires sur les données de l'utilisateur (en
    particulier; pour les méthodes HTTP autres que GET ou POST pour utilisation avec
    certains types MIME). La spécification des mandats que les navigateurs
    "contrôle en amont" de la demande, de solliciter des méthodes prises en charge à partir du serveur
    avec un HTTP OPTIONS d'en-tête de requête, puis, lors de "l'approbation" de l'
    le serveur, l'envoi de la demande réelle avec le réel de la requête HTTP
    la méthode. Les serveurs peuvent également informer les clients si les "informations d'identification"
    (y compris les Cookies et l'Authentification HTTP de données) doit être envoyé avec
    les demandes.

    Il est très difficile de proposer une solution générique qui pourrait fonctionner pour tous les serveurs WWW, comme le programme d'installation varie selon le serveur lui-même et les verbes HTTP que vous avez l'intention de les soutenir. Je vous invite à vous rendre sur cet excellent article (http://www.html5rocks.com/en/tutorials/cors/) qui a beaucoup plus de détails précis sur les en-têtes qui doit être envoyé par un serveur.

    • Ouais c'est ce que je pensais qui se passait. S'avère que j'ai besoin pour l'installation de l'accès des en-têtes sur l'actif de l'hôte pour obtenir que cela fonctionne.
    • Pouvez-vous élaborer sur ce que vous avez fait pour résoudre ce problème? Je suis confronté à la même question en vertu de laquelle un AngularJS $resource POST demande la génération d'un OPTIONS demande à mon backend ExpressJS serveur (sur le même hôte; mais d'un autre port).
    • La façon que je l'ai eu à travailler est par la mise en place d'un en-tête de la SCRO sur le serveur d'origine et tout les serveurs à distance les demandes sont destinés. Dans ce cas, vous devez le configurer pour le serveur qui fournit votre code JavaScript et puis faire de même pour le serveur qui vous propose l' $de ressources de données.
    • Pour tous les électeurs, il est pratiquement impossible de fournir des exact configuration de l'installation pour tous les serveurs web là - bas- la réponse faudrait 10 pages dans ce cas. Au lieu de cela, je suis lié à un article qui donne plus de détails.
    • Vous avez raison, vous ne pouvez pas vous prescrire une réponse, vous aurez besoin d'ajouter des en-têtes de vos OPTIONS de réponse qui couvre tous les en-têtes de requêtes du navigateur, dans mon cas, à l'aide de chrome c'était les en-têtes "accepter" et "x-requested-with'. Dans google chrome, j'ai compris ce que j'ai besoin d'ajouter en regardant la demande de réseau et de voir ce que google chrome a été demandé. Je suis l'aide de nodejs/expressjs que la sauvegarde j'ai donc créé un service qui a renvoyé une réponse à la demande d'OPTIONS qui couvre tous les en-têtes nécessaires. -1 parce que je ne pouvais pas utiliser cette réponse pour savoir quoi faire, a dû le comprendre moi-même.
    • Pour des précisions sur le POST de l'utilisation de certains types MIME', ces types sont les suivants: application/x-www-form-urlencoded, multipart/form-data, ou text/plain. AUTRE CHOSE déclenche un contrôle en amont. Voir stackoverflow.com/a/12320736/331791
    • Je suis un peu perdu, parce que jQuery c'est si facile, sans aucune configuration supplémentaire.
    • Je sais que c'est+ de 2 ans plus tard, mais... L'OP se réfère à des demandes à plusieurs reprises (italiques ajoutés par moi): «[...] la demande adressée à l'actif du fichier est une des OPTIONS de demande (, il devrait être d'une requête GET).» et «le navigateur est à essayer de comprendre si c'est "autorisé" à télécharger l'atout premier avant d'effectuer la requête GET». Comment peut-il ne pas être un AngularJS bug alors? Ne devrait pas le contrôle en amont des demandes interdite pour les OBTENIR?
    • même requête GET peut déclencher pré-vol à la demande dans un navigateur si des en-têtes personnalisés sont utilisés. Cochez la case "pas si simple demande" dans l'article, je suis lié: html5rocks.com/en/tutorials/cors/#toc-making-a-cors-request. Encore une fois, c'est navigateur mécanisme, pas AngularJS.
    • Je vivais sous le (faux) hypothèse que les demandes sont toujours "simple", pas de le cas certainement: w3.org/TR/cors - merci beaucoup de m'avoir permis de vérifier, leçon apprise!

    InformationsquelleAutor pkozlowski.opensource
  2. 69

    Angulaire 1.2.0rc1+, vous devez ajouter un resourceUrlWhitelist.

    1.2: version ils ont ajouté une escapeForRegexp fonction de sorte que vous n'avez plus à échapper à la les chaînes. Vous pouvez simplement ajouter l'url directement 

    'http://sub*.assets.example.com/**'

    assurez-vous d'ajouter ** pour les sous-dossiers. Ici, c'est un travail jsbin pour 1.2:
    http://jsbin.com/olavok/145/edit

    1.2.0 rc: Si vous êtes toujours sur une version rc, l'angle 1.2.0rc1 la solution ressemble:

    .config(['$sceDelegateProvider', function($sceDelegateProvider) {
     $sceDelegateProvider.resourceUrlWhitelist(['self', /^https?:\/\/(cdn\.)?yourdomain.com/]);
 }])

    Ici est un jsbin exemple où il travaille pour la 1.2.0rc1:
    http://jsbin.com/olavok/144/edit

    Pré 1.2: Pour les versions plus anciennes (réf http://better-inter.net/enabling-cors-in-angular-js/), vous devez ajouter les 2 lignes suivantes à votre configuration:

    $httpProvider.defaults.useXDomain = true;
delete $httpProvider.defaults.headers.common['X-Requested-With'];

    Ici est un jsbin exemple où il travaille pour le pré 1.2 les différentes versions:
    http://jsbin.com/olavok/11/edit

    • Cela a fonctionné pour moi. Ici est la magie appropriée pour le côté serveur avec nodejs/express: gist.github.com/dirkk0/5967221
    • Cela ne fonctionne que pour OBTENIR la demande, encore je ne trouve pas de solution pour la requête POST sur la croix de domaine.
    • La combinaison de cette réponse avec user2304582 réponse ci-dessus devrait fonctionner pour les requêtes POST. Vous devez indiquer à votre serveur pour accepter les requêtes POST du serveur externe qui l'a envoyé
    • Ça ne ressemble pas à travailler sur sa propre pour moi...donc un -1. Vous avez besoin de quelque chose sur la même URL qui permettra de répondre à une demande dans le cadre d'une visite pré-vol. Pouvez-vous expliquer pourquoi cela fonctionnerait?
    • J'ai mis à jour la réponse à la 1.2 et ajouté un travail jsbin exemple. Normalement ça devrait le résoudre pour vous. Assurez-vous que vous appuyez sur la commande "Exécuter avec JS" bouton.
    • Je suis à l'aide 1.2.3, et l' $sceDelegateProvider a fait le tour pour les requêtes GET. J'ai toujours le même problème pour les requêtes POST. J'ai mis à jour mon virtualhost avec en-Tête " Access-Control-Allow-les Méthodes "GET, POST, PUT," OPTIONS", avec pas de chance. Une idée?
    • Ne fonctionne pas pour moi. Sur 1.3.9
    • Pour les pré-1.2, la suppression de la X-requested-with permettrait d'empêcher le serveur de détecter les requêtes ajax. Pas une super solution.
    • Voici un exemple de travail avec 1.3.14 jsbin.com/fobetubufo/1/edit?html
    • pas sûr de la façon de conseiller les autres que d'encourager la migration vers une version plus récente.

    InformationsquelleAutor JStark
  3. 61

    REMARQUE: Pas sûr qu'il fonctionne avec la dernière version de Anguleux.

    ORIGINAL:

    Il est également possible de remplacer les OPTIONS de demande (il n'a été testé dans google Chrome):

    app.config(['$httpProvider', function ($httpProvider) {
  //Reset headers to avoid OPTIONS request (aka preflight)
  $httpProvider.defaults.headers.common = {};
  $httpProvider.defaults.headers.post = {};
  $httpProvider.defaults.headers.put = {};
  $httpProvider.defaults.headers.patch = {};
}]);
    • Fonctionne très bien pour moi avec Chrome, FF & IE 10. IE 9 et ci-dessous doit être testé en mode natif sur Windows 7 ou XP machines.
    • Sinon on peut régler cela sur le fait que $ressource est la seule méthode, et non à l'échelle mondiale: $resource('http://yourserver/yourentity/:id', {}, {query: {method: 'GET'});
    • Est-il un problème avec cela? Il semble si simple, et pourtant, la réponse est si profondément vers le bas dans le fil? edit: Ne fonctionne pas du tout.
    • Ne fonctionne pas pour moi. Sur 1.3.9
    • D'où ce code? dans app.js, controller.js ou exactement où.
    • Ce code ne fait rien pour une requête get. J'ai ajouté séparée de la règle pour obtenir ainsi dans ma config
    • est-il pirater ou fiable?
    • où voulez-vous mettre?
    • Pouvez confirmer cela fonctionne dans Angulaire de 1,5

    InformationsquelleAutor user2899845
  4. 34

    Votre service doit répondre à un OPTIONS demande avec des en-têtes comme celles-ci:

    Access-Control-Allow-Origin: [the same origin from the request]
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: [the same ACCESS-CONTROL-REQUEST-HEADERS from request]

    Ici est un bon doc: http://www.html5rocks.com/en/tutorials/cors/#toc-adding-cors-support-to-the-server

    • Pour des détails sur l' [le même CONTRÔLE d'ACCÈS-REQUEST-HEADERS de la requête], comme je l'ai mentionné dans une autre réponse, vous avez besoin de regarder les OPTIONS de demander à ce que votre navigateur est à ajouter. Ensuite, ajouter les en-têtes sur le service que vous êtes en bâtiment (ou serveur web). Dans expressjs qui ressemblait à: ejs.options('', function(request, response){ response.header('Access-Control-Allow-Origin', ''); réponse.header('Access-Control-Allow-Méthodes", "GET,PUT,POST,DELETE'); réponse.header('Access-Control-Allow-en-Têtes', 'Content-Type,d'Autorisation,d'accepter,de x-requested-with'); réponse.send(); });
    • Ed Sykes commentaire est très précis, sachez que les en-têtes envoyés sur les OPTIONS de réponse et celles envoyées sur le POST de réponse doit être exactement la même, par exemple: Access-Control-Allow-Origin:* n'est pas le même que Access-Control-Allow-Origin : * en raison de la présence d'espaces.
    InformationsquelleAutor user2304582
  5. 20

    Le même document dit

    Contrairement à une simple demande (voir ci-dessus), "contrôlé" demande d'envoyer d'abord un HTTP OPTIONS d'en-tête de demande de la ressource sur l'autre domaine, afin de déterminer si la demande est sûr d'envoyer. Les requêtes inter-domaines sont contrôlé comme cela, car ils peuvent avoir des implications pour les données de l'utilisateur. En particulier, une demande est contrôlé si:

    Il utilise des méthodes autres que GET ou POST. Aussi, si le POST est utilisée pour envoyer les données de la demande avec un Type de Contenu autre que l'application/x-www-form-urlencoded, multipart/form-data, ou text/plain, par exemple, si la requête POST envoie une charge utile XML au serveur à l'aide de l'application/xml ou texte/xml, alors que la demande est contrôlé.

    Il définit les en-têtes personnalisés à la demande (par exemple, la demande utilise un en-tête tel que X-PINGOTHER)

    Lors de la demande initiale est d'Obtenir sans en-têtes personnalisés, le navigateur ne doit pas faire des Options de demande de qui il le fait maintenant. Le problème est qu'il génère un en-tête X-Requested-Avec laquelle les forces de la demande Options. Voir https://github.com/angular/angular.js/pull/1454 sur la façon de supprimer cet en-tête

    InformationsquelleAutor Grum Ketema
  6. 10

    Cela a réglé mon problème:

    $http.defaults.headers.post["Content-Type"] = "text/plain";
    InformationsquelleAutor Cem Arguvanlı
  7. 10

    Si vous utilisez un serveur nodeJS, vous pouvez utiliser cette bibliothèque, il a bien fonctionné pour moi https://github.com/expressjs/cors

    var express = require('express')
  , cors = require('cors')
  , app = express();

app.use(cors());

    et après vous pouvez faire une npm update.

    InformationsquelleAutor Zakaria.dem
  8. 4

    Voici comment j'ai résolu ce problème sur ASP.NET

    • Tout d'abord, vous devez ajouter le package nuget Microsoft.AspNet.WebApi.La scro

    • Puis modifier le fichier de App_Start\WebApiConfig.cs 

      public static class WebApiConfig    
{
   public static void Register(HttpConfiguration config)
   {
      config.EnableCors();

      ...
   }    
}

    • Ajouter cet attribut sur votre contrôleur de classe

      [EnableCors(origins: "*", headers: "*", methods: "*")]
public class MyController : ApiController
{  
    [AcceptVerbs("POST")]
    public IHttpActionResult Post([FromBody]YourDataType data)
    {
         ...
         return Ok(result);
    }
}

    • J'ai pu envoyer json à l'action, par ce moyen,

      $http({
        method: 'POST',
        data: JSON.stringify(data),
        url: 'actionurl',
        headers: {
            'Content-Type': 'application/json; charset=UTF-8'
        }
    }).then(...)

    Référence :
    L'activation de la Croix-Origine des Demandes en ASP.NET Web API 2

    InformationsquelleAutor asfez
  9. 2

    En quelque sorte je l'ai corrigé en changeant 

    <add name="Access-Control-Allow-Headers" 
     value="Origin, X-Requested-With, Content-Type, Accept, Authorization" 
     />

    à 

    <add name="Access-Control-Allow-Headers" 
     value="Origin, Content-Type, Accept, Authorization" 
     />
    InformationsquelleAutor Ved Prakash
  10. 0

    Parfaitement décrit dans pkozlowski commentaire.
    J'avais solution de travail avec AngularJS 1.2.6 et ASP.NET l'Api Web mais quand je l'eus mis à jour AngularJS pour 1.3.3 demande ensuite échoué.

    • Solution pour le Web Api serveur était d'ajouter le traitement des OPTIONS de demandes au début de la méthode de configuration (plus d'info dans ce blog):

      app.Use(async (context, next) =>
{
    IOwinRequest req = context.Request;
    IOwinResponse res = context.Response;
    if (req.Path.StartsWithSegments(new PathString("/Token")))
    {
        var origin = req.Headers.Get("Origin");
        if (!string.IsNullOrEmpty(origin))
        {
            res.Headers.Set("Access-Control-Allow-Origin", origin);
        }
        if (req.Method == "OPTIONS")
        {
            res.StatusCode = 200;
            res.Headers.AppendCommaSeparatedValues("Access-Control-Allow-Methods", "GET", "POST");
            res.Headers.AppendCommaSeparatedValues("Access-Control-Allow-Headers", "authorization", "content-type");
            return;
        }
    }
    await next();
});
    • Le ci-dessus ne fonctionne pas pour moi. Il y a une solution beaucoup plus simple pour activer la SCRO pour une utilisation avec AngularJS avec ASP.NET l'API WEB 2.2 et versions ultérieures. Obtenir Microsoft WebAPI de la SCRO paquet de Nuget puis dans votre WebAPI fichier de config... var c = new EnableCorsAttribute("www.example.com", "", ""); config.EnableCors(scro); les Détails sont sur le site de Microsoft ici asp.net/web-api/overview/security/...
    InformationsquelleAutor Jiří Kavulák
  11. 0

    Si vous utilisez Jersey pour le REPOS de l'API que vous pouvez faire comme ci-dessous

    Vous n'avez pas à changer vos webservices mise en œuvre.

    Je vais vous expliquer pour le Jersey 2.x

    1) tout d'Abord ajouter un ResponseFilter comme indiqué ci-dessous 

    import java.io.IOException;

import javax.ws.rs.container.ContainerRequestContext;
import javax.ws.rs.container.ContainerResponseContext;
import javax.ws.rs.container.ContainerResponseFilter;

public class CorsResponseFilter implements ContainerResponseFilter {

@Override
public void filter(ContainerRequestContext requestContext,   ContainerResponseContext responseContext)
    throws IOException {
        responseContext.getHeaders().add("Access-Control-Allow-Origin","*");
        responseContext.getHeaders().add("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");

  }
}

    2) puis dans la web.xml dans le maillot de servlet déclaration ajouter le ci-dessous 

        <init-param>
        <param-name>jersey.config.server.provider.classnames</param-name>
        <param-value>YOUR PACKAGE.CorsResponseFilter</param-value>
    </init-param>
    InformationsquelleAutor nondescript
  12. 0

    J'ai renoncé à essayer de résoudre ce problème.

    Mon web IIS.config avait " laAccess-Control-Allow-Methods" en elle, j'ai testé l'ajout de paramètres de configuration pour mon Angulaire de code, mais après la combustion de quelques heures à essayer d'obtenir de Chrome à l'appel inter-domaine JSON web service, j'ai laissé tomber lamentablement.

    À la fin, j'ai ajouté un muet ASP.Net gestionnaire de la page web, obtenu que d'appeler mon JSON web service, et de retourner les résultats. Il a été opérationnel en 2 minutes.

    Voici le code que j'ai utilisé:

    public class LoadJSONData : IHttpHandler
{
    public void ProcessRequest(HttpContext context)
    {
        context.Response.ContentType = "text/plain";

        string URL = "......";

        using (var client = new HttpClient())
        {
            //New code:
            client.BaseAddress = new Uri(URL);
            client.DefaultRequestHeaders.Accept.Clear();
            client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
            client.DefaultRequestHeaders.Add("Authorization", "Basic AUTHORIZATION_STRING");

            HttpResponseMessage response = client.GetAsync(URL).Result;
            if (response.IsSuccessStatusCode)
            {
                var content = response.Content.ReadAsStringAsync().Result;
                context.Response.Write("Success: " + content);
            }
            else
            {
                context.Response.Write(response.StatusCode + " : Message - " + response.ReasonPhrase);
            }
        }
    }

    public bool IsReusable
    {
        get
        {
            return false;
        }
    }
}

    Et dans mon Angulaire contrôleur...

    $http.get("/Handlers/LoadJSONData.ashx")
   .success(function (data) {
      ....
   });

    Je suis sûr qu'il y a plus simple/plus générique façon de faire cela, mais la vie est trop courte...

    Cela a fonctionné pour moi, et je peux obtenir sur avec faire travail normal maintenant !!

    InformationsquelleAutor Mike Gledhill
  13. 0

    Pour un IIS MVC 5 /Angulaire de la CLI ( Oui, je suis bien conscient de votre problème est avec Angular JS ) projet de l'API, je n'ai suivantes:

    web.config sous <system.webServer> nœud

        <staticContent>
      <remove fileExtension=".woff2" />
      <mimeMap fileExtension=".woff2" mimeType="font/woff2" />
    </staticContent>
    <httpProtocol>
      <customHeaders>
        <clear />
        <add name="Access-Control-Allow-Origin" value="*" />
        <add name="Access-Control-Allow-Headers" value="Content-Type, atv2" />
        <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS"/>
      </customHeaders>
    </httpProtocol>

    mondiale.asax.cs

    protected void Application_BeginRequest() {
  if (Request.Headers.AllKeys.Contains("Origin", StringComparer.OrdinalIgnoreCase) && Request.HttpMethod == "OPTIONS") {
    Response.Flush();
    Response.End();
  }
}

    Qui devrait résoudre votre problèmes pour les deux MVC et WebAPI sans avoir à faire tous les autres courir. Ensuite, j'ai créé un HttpInterceptor dans l'angle de la CLI projet qui est ajouté dans le pertinentes informations d'en-tête. Espérons que cela aide quelqu'un dans une situation similaire.

    InformationsquelleAutor Damon Drake
  14. 0

    Peu en retard à la fête,

    Si vous utilisez Angulaire 7 (ou 5/6/7) et PHP comme l'API, et toujours cette erreur, essayez de l'ajouter à la suite de l'en-tête des options pour le point de fin (PHP API).

     header("Access-Control-Allow-Origin: *");
 header("Access-Control-Allow-Methods: PUT, GET, POST, PUT, OPTIONS, DELETE, PATCH");
 header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

    Note : Ce qui ne nécessite est Access-Control-Allow-Methods. Mais, je suis coller ici deux autres Access-Control-Allow-Origin et Access-Control-Allow-Headers, tout simplement parce que vous aurez besoin de tous ces être correctement placé dans l'ordre Angulaire Application à bien parler à votre API.

    Espère que cela aide quelqu'un.

    Acclamations.

    InformationsquelleAutor Anjana Silva