Comment Access-Control-Allow-Origin-tête de travail?

Apparemment, j'ai complètement mal compris sa sémantique. J'ai pensé à quelque chose comme ceci:

  1. Un client télécharge le code javascript MyCode.js à partir de http://siteA - l'origine.
  2. L'en-tête de réponse de MyCode.js contient Access-Control-Allow-Origin: http://siteB, ce qui signifiait que je pensais MyCode.js été autorisé à faire de la croix-origine renvois vers le site B.
  3. Le client déclenche certaines fonctionnalités de MyCode.js qui, à son tour faire des demandes de http://siteB qui doit être fine, en dépit de la croix-de l'origine des demandes.

Bien, je suis dans l'erreur. Il ne fonctionne pas comme ça à tout. Donc, j'ai lu Cross-origin resource sharing et a tenté de lire Cross-Origin Resource sharing dans la recommandation du w3c

Une chose est sûr - je ne comprends toujours pas comment suis-je censé utiliser cet en-tête.

J'ai le plein contrôle de fois le site A et le site b. Comment puis-je activer le javascript code téléchargé à partir du site Un accès à des ressources sur le site B à l'aide de cet en-tête?

P. S.

Je ne veux pas utiliser JSONP.

  • Je ne suis pas sûr, mais je crois que le réglage de l'en-tête de cette façon vous code sur le site B pour aller chercher http://siteA/MyCode.js.
  • Mais comment??? Afin d'obtenir la valeur d'en-tête a chercher la ressource première, mais la ressource est de la croix-origine et donc ne devrait pas le navigateur de bloquer la demande en premier lieu?
  • Ce que vous avez décrit en fait ressemble à une autre pratique, Contenu de la Politique de Sécurité
  • Vous n'avez pas à aller chercher les ressources afin d'obtenir les en-têtes. L'en-TÊTE HTTP de la méthode sera de retour les en-têtes uniquement. Et dans le cas de la SCRO, un contrôle en amont est effectué en utilisant les OPTIONS HTTP méthode qui ne retourne pas le corps. apsillers réponse décrit ce bien stackoverflow.com/posts/10636765/revisions.
InformationsquelleAutor mark | 2012-05-17
  1. 1240

    Access-Control-Allow-Origin est un CORS (Cross-Origin Resource sharing) de la tête.

    Lorsqu'Un Site tente d'extraire le contenu du Site B, le Site B peut envoyer un Access-Control-Allow-Origin en-tête de réponse de dire au navigateur que le contenu de cette page est accessible à certaines origines. (Un origine est un domaine, en plus d'un régime et le numéro de port.) Par défaut, le Site B de pages sont pas accessible à tout autre origine; à l'aide de la Access-Control-Allow-Origin en-tête ouvre une porte pour la croix-origine de l'accès par spécifiques demandant des origines.

    Pour chaque ressource/page Site B veut rendre accessible à Un Site, le Site B, doit servir de ses pages avec l'en-tête de réponse:

    Access-Control-Allow-Origin: http://siteA.com

    Les navigateurs modernes ne va pas bloquer les demandes inter-domaine d'emblée. Si Un Site demande une page du Site B, le navigateur va effectivement chercher la page demandée au niveau du réseau et de vérifier si les en-têtes de réponse liste de Site Un en tant que demandeur de permis de domaine. Si le Site B n'a pas indiqué que le Site A est autorisé à accéder à cette page, le navigateur va déclencher l' XMLHttpRequest's error de l'événement et de refuser les données de réponse à la demande de code JavaScript.

    Non de simples demandes

    Ce qui se passe au niveau du réseau peut être légèrement plus complexe qu'expliqué ci-dessus. Si la demande est une "non simple" demande, le navigateur envoie d'abord des données moins "contrôle en amont" des OPTIONS de demande, pour vérifier que le serveur accepte la demande. Une demande est non simple lorsque l'un ou l'autre (ou les deux):

    • à l'aide d'un verbe HTTP autres que GET ou POST (par exemple, PUT, DELETE)
    • à l'aide de non-simple-têtes de la requête; le simple demande les en-têtes sont:
      • Accept
      • Accept-Language
      • Content-Language
      • Content-Type (ce n'est simple lorsque sa valeur est application/x-www-form-urlencoded, multipart/form-data, ou text/plain)

    Si le serveur répond aux OPTIONS de contrôle en amont avec appropriée en-têtes de réponse (Access-Control-Allow-Headers pour les non-têtes simples, Access-Control-Allow-Methods pour les non-simple des verbes) qui correspondent à la non-verbe simple et/ou non-des en-têtes simples, puis le navigateur envoie la demande réelle.

    À supposer que le Site A veut envoyer une demande de /somePage, avec une non-simple Content-Type valeur de application/json, le navigateur d'abord envoyer une demande de contrôle en amont:

    OPTIONS /somePage HTTP/1.1
Origin: http://siteA.com
Access-Control-Request-Method: PUT
Access-Control-Request-Headers: Content-Type

    Noter que Access-Control-Request-Method et Access-Control-Request-Headers sont ajoutés par le navigateur automatiquement; vous n'avez pas besoin de les ajouter. Cette option contrôle en amont obtient le succès des en-têtes de réponse:

    Access-Control-Allow-Origin: http://siteA.com
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: Content-Type

    Lors de l'envoi de la demande réelle (après contrôle en amont est fait), le comportement est identique à la façon dont une simple demande est traitée. En d'autres termes, un non-simple demande dont elle est réussie, est traité de la même façon comme une simple demande (c'est à dire, le serveur doit toujours envoyer Access-Control-Allow-Origin encore pour la réponse réelle).

    Les navigateurs envoie la demande réelle:

    PUT /somePage HTTP/1.1
Origin: http://siteA.com
Content-Type: application/json

{ "myRequestContent": "JSON is so great" }

    Et le serveur renvoie un Access-Control-Allow-Origin, tout comme il le ferait pour une simple demande:

    Access-Control-Allow-Origin: http://siteA.com

    Voir La compréhension XMLHttpRequest au cours de la SCRO pour un peu plus d'informations à propos de la non-simple demande.

    • Mais MyCode.js ne peut pas atteindre pour le site B, en premier lieu! Comment cela va-tête de arriver chez le client? BTW, bravo pour la lumière de la vie planeur dans l'avatar.
    • J'ai édité avec précision: le navigateur ne fait réaliser un réseau d'extraction sur le site B pour vérifier la Access-Control-Allow-Origin en-tête, mais il pourrait ne pas fournir la réponse pour le code JS sur le site si la tête ne permet pas Un site pour l'avoir. (P. S. Merci 🙂 )
    • En effet, je ne vois aucune trace de la télécharger dans un violon, à moins que la croix-origine de la demande est approuvée. Intéressant...
    • Pourquoi mon navigateur faire une demande HTTP get quand je tape dans l'URL et de récupérer des données JSON, mais mon client javascript ne peut pas?
    • Fondamental "pourquoi?" la question comme ça, c'est probablement hors de portée pour cette réponse particulière, qui est juste au sujet des règles & mécanique. Fondamentalement, le navigateur permet de vous, l'homme assis à l'ordinateur, voir toutes les ressources de n'importe quelle origine. Il n'autorise pas les scripts (ce qui pourrait être écrit par n'importe qui) à partir de la lecture des ressources d'origines différentes de l'origine de la page d'exécuter le script. Certaines questions sont programmers.stackexchange.com/q/216605 et Quel est le modèle de menace pour la même origine?
    • Dans le cas de l'utilisation d'une authentification, Access-Control-Allow-Origin n'accepte pas la * dans certains navigateurs (FF et Chrome autant que je sache). Dans ce cas, vous devez spécifier la valeur de la Origin en-tête. Espérons que cela va aider quelqu'un.
    • C'est en effet conformes aux spécifications de comportement ("La chaîne de caractères "*" ne peut pas être utilisé pour une ressource qui prend en charge les informations d'identification."). Voir aussi Ne peut pas utiliser des caractères génériques dans Access-Control-Allow-Origin lorsque les informations d'identification indicateur est vrai
    • maxcdn.com/one/visual-glossary/cors ajoute que "Le deuxième domaine détermine si ou de ne pas servir le contenu en validant le premier domaine, qui est inclus en tant que partie de la demande. Le deuxième domaine, puis retourne le contenu ou un message d'erreur renvoyé au navigateur, en contournant le premier domaine entièrement."
    • Cela a fonctionné pour moi en c# Système.Net.Http.HttpResponseMessage response = new HttpResponseMessage(); réponse.Les en-têtes.Add("Access-Control-Allow-Origin", "domain/page.html");
    • Donc, ce que cela signifie, si Un site n'est pas autorisé par le site B, et B site de l'API n'DB opérations et de la validation de l'entrée, de sorte que cela va être fait, puis demande sera rejetée au navigateur de fin, même si tout est fait.
    • Comment contrôle en amont demande échappe à toutes les validations d'entrée de base de données et des appels?
    • tous sera fait et puis demande sera rejetée au navigateur de fin" - si je vous comprends, c'est exactement ce qu'est un contrôle en amont empêche. Tout d'abord, le navigateur envoie une OPTIONS de contrôle en amont, et il attend ito envoyer la requête réelle qui va déclencher une action sur le serveur. Si le serveur n' pas dire, "Oui, envoyer la requête réelle", en envoyant un CORS de réponse, le navigateur n'envoie pas la vraie demande.
    • J'ai quelques doutes au sujet de la SCRO: 1. Donc, si le serveur de l'API que l'on essaie d'accéder à la réponse ne permet pas de CORS du Filtre d'accès, n'Chrome Plugins peuvent travailler pour de by-pass? 2. Que dois-je dans mon environnement de production pour l'activation de ce CORS du filtre? Pour Ex. Si j'essaie d'accéder à une API comme, le Facebook de l'API de connexion/ API de Google pour vous connecter à ma page, comment peut-on filtre le travail, comme ils pourraient avoir limité l'accès à d'autres domaines. Donc, dans ce cas, comment peut-on filtre by-pass fait?
    • Les Extensions de Chrome peut demande d'autorisation d'accès à des origines dans les moyens que la normale de pages web ne peut pas. (2) Connexion Api comme OAuth ne pas utiliser XHR/Ajax. Ils rediriger la page de premier niveau à une autre page comme https://google.com/auth?token=...&redirect=... d'une manière qui ne cause pas un cross-origin demande.
    • Pour être complet, pour toute personne qui est à l'aide de access-control-allow-origin dynamiquement (modification de l'URL de la valeur basée sur la demande de l'origine) au lieu de *, vous devez également inclure l'en-tête Vary: Origin. Voir fetch.spec.whatwg.org/#cors-protocol-and-http-caches

    InformationsquelleAutor apsillers
  2. 110

    De la croix-Origine de la Demande de Partage - CORS (A. K. A. de la Croix-Domaine requête AJAX) est un problème que la plupart des développeurs web peuvent rencontrer, selon la Même Origine Politique, les navigateurs restreindre client JavaScript dans un sandbox de sécurité, généralement JS ne peut pas communiquer directement avec un serveur distant à partir d'un domaine différent. Dans le passé, les développeurs ont créé plusieurs manières délicates à réaliser inter-Domaine de la demande de ressource, le plus souvent à l'aide de moyens sont:

    1. Utiliser Flash/Silverlight ou côté serveur comme un "proxy" pour communiquer
      avec la télécommande.
    2. JSON Avec un Rembourrage (JSONP).
    3. Intègre serveur distant dans un iframe et de communiquer au travers du fragment ou de la fenêtre.nom, reportez-vous ici.

    Ces manières délicates ont plus ou moins certaines questions, par exemple JSONP pourrait résulter en un trou de sécurité si les développeurs simplement "eval", et #3 ci-dessus, bien que cela fonctionne, les deux domaines doivent construire stricte contrat entre les uns des autres, ni souple, ni élégant à mon humble avis:)

    W3C avait introduit Cross-Origin Resource sharing (SCRO) comme une solution standard pour fournir un coffre-fort, souple et d'une norme recommandée façon de résoudre ce problème.

    Le Mécanisme

    D'un niveau élevé, on peut juger de la SCRO est un contrat entre le client appel AJAX à partir d'Un domaine et d'une page hébergée sur le domaine B, typique de la Croix-Origine de requête/réponse serait:

    DomainA AJAX en-têtes de requête

    Host DomainB.com
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:2.0) Gecko/20100101 Firefox/4.0
Accept text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,application/json
Accept-Language en-us;
Accept-Encoding gzip, deflate
Keep-Alive 115
Origin http://DomainA.com

    DomainB en-têtes de réponse

    Cache-Control private
Content-Type application/json; charset=utf-8
Access-Control-Allow-Origin DomainA.com
Content-Length 87
Proxy-Connection Keep-Alive
Connection Keep-Alive

    Les parties bleues que j'ai marqué ci-dessus ont été le kernel faits, "Origine" en-tête de requête "indique l'endroit où la croix-origine de la demande ou de contrôle en amont la demande provient de", le "Access-Control-Allow-Origin" en-tête de réponse indique cette page permet à distance de la demande de DomainA (si la valeur est * permet d'indiquer les demandes à distance à partir de n'importe quel domaine).

    Comme je l'ai mentionné ci-dessus, W3 navigateur recommandé de mettre en œuvre un "de contrôle en amont demande" avant de soumettre la réalité de la Croix-Origine de la requête HTTP, en un mot c'est un HTTP OPTIONS demande:

    OPTIONS DomainB.com/foo.aspx HTTP/1.1

    Si foo.aspx prend en charge les OPTIONS HTTP verbe, il risque de retourner la réponse, comme ci-dessous:

    HTTP/1.1 200 OK
Date: Wed, 01 Mar 2011 15:38:19 GMT
Access-Control-Allow-Origin: http://DomainA.com
Access-Control-Allow-Methods: POST, GET, OPTIONS, HEAD
Access-Control-Allow-Headers: X-Requested-With
Access-Control-Max-Age: 1728000
Connection: Keep-Alive
Content-Type: application/json

    Seulement si la réponse contient "Access-Control-Allow-Origin" ET sa valeur est "*" ou contiennent le domaine qui a présenté la SCRO demande, par la satisfaction de ce mandtory condition navigateur de soumettre la demande de domaines et de mettre en cache le résultat en "de contrôle en amont-Résultat-Cache".

    J'ai blogué à propos de la SCRO il y a trois ans: AJAX Cross-Origine de la requête HTTP

    • Cette réponse m'a fait comprendre pourquoi j'ai été tout d'un coup se un problème sans l'aide de cet en-tête de la POSTE et des requêtes GET. J'avais accidentellement ouvert la index.html fichier directement à partir du disque, de sorte que l'URL, le client a accès sur node.js a été pensé pour être inter-domaine, alors qu'il était tout simplement en cours d'exécution sur l'hôte local. Accès via l'URL (comme on veut) "résolu" mon problème...
    • Serait un domaine dans un réseau externe en mesure de communite avec un nom de domaine sur un réseau interne?
    InformationsquelleAutor Wayne Ye
  3. 45

    Question est un peu trop vieux pour répondre, mais je vous poste ça pour toute référence future à cette question.

    Selon cette Mozilla Developer Network article,

    Une ressource rend un de la croix-origine de la requête HTTP quand il demande une ressource à partir d'un autre domaine, ou le port que celui qui, la première ressource elle-même sert.

    Comment Access-Control-Allow-Origin-tête de travail?

    Un page HTML servi de http://domain-a.com fait une <img> src demande de http://domain-b.com/image.jpg.

    De nombreuses pages sur le web aujourd'hui de charger des ressources telles que les feuilles de style CSS, images et scripts de domaines distincts (donc il doit être froid).

    De Même Origine Politique

    Pour des raisons de sécurité, les navigateurs restreindre cross-origin HTTP demandes initié de l'intérieur des scripts.

    Par exemple, XMLHttpRequest et Fetch suivez les de même origine politique.

    Ainsi, une application web à l'aide de XMLHttpRequest ou Fetch ne pouvait faire requêtes HTTP à son propre domaine.

    Cross-Origin Resource sharing (SCRO)

    Pour améliorer les applications web, les développeurs demandé aux fournisseurs de navigateur pour autoriser les requêtes inter-domaine.

    La Cross-Origin Resource sharing (SCRO) mécanisme donne des serveurs web de la croix-domaine des contrôles d'accès, qui permet de sécuriser la croix-domaine des transferts de données.

    Les navigateurs modernes utilisent de la SCRO dans un API conteneur - comme XMLHttpRequest ou Fetch - pour atténuer les risques de la croix-origine des requêtes HTTP.

    Comment la SCRO œuvres (Access-Control-Allow-Origin en-tête)

    Wikipédia:

    De la SCRO norme décrit les nouveaux en-têtes HTTP qui fournissent des navigateurs et des serveurs de demander une Url distante seulement quand ils en ont l'autorisation.

    Bien que certains de validation et d'autorisation peut être effectuée par le serveur, c'est généralement le navigateur responsabilité à l'appui de ces en-têtes et d'honorer les restrictions qu'ils imposent.

    Exemple

    1. Le navigateur envoie le OPTIONS demande avec un Origin HTTP en-tête.

      La valeur de cet en-tête est le domaine qui a servi en de la page parent. Lorsque une page de http://www.example.com tentatives d'accès à des données d'un utilisateur dans service.example.com, les suivantes en-tête de demande sera envoyé à service.example.com:

      Origine: http://www.example.com

    2. Le serveur à service.example.com peut répondre:

      • Un Access-Control-Allow-Origin (ACAO) de la tête à sa réponse en indiquant quels sites d'origine sont autorisées.

        Par exemple:

        Access-Control-Allow-Origin: http://www.example.com

      • Une page d'erreur si le serveur n'autorise pas la croix-origine de la demande

      • Un Access-Control-Allow-Origin (ACAO) de la tête avec un joker qui permet à tous les domaines:

        Access-Control-Allow-Origin: *

    • Comment définir aucun n'est autorisé à acees quelque chose comme Access-Control-Allow-Origin:null
    • Quand je ne veux pas permettre à quiconque d'accéder à mes ressources par le biais de la SCRO, quelle valeur dois-je mettre pour Access-Control-Allow-Origin ? Je veux dire la négation de Access-Control-Allow-Origin: *
    • Juste ne pas mettre quoi que ce soit, à cette fin
    InformationsquelleAutor Pmpr
  4. 15

    Chaque fois que je commence à penser de la SCRO, mon intuition sur le site héberge les en-têtes est incorrect, juste comme vous l'avez décrit dans votre question. Pour moi, ça m'aide à réfléchir à la finalité de la même origine.

    L'objet de la même origine, la politique est de vous protéger d'un programme malveillant siteA.com accéder aux informations privées que vous avez choisi de partager avec siteB.com. Sans la même origine, JavaScript écrit par les auteurs de siteA.com peut rendre votre navigateur faire des demandes de siteB.com à l'aide de votre cookies d'authentification pour siteB.com. De cette façon, siteA.com pourrait voler le secret de l'information que vous partagez avec siteB.com.

    Parfois, vous avez besoin de travailler de la croix de domaine, qui est l'endroit où la SCRO vient dans. La SCRO détend la même origine pour domainA.com en utilisant le Access-Control-Allow-Origin en-tête de liste d'autres domaines (domainB.com) qui sont de confiance pour exécuter le JavaScript qui peut interagir avec domainA.com.

    Pour comprendre le domaine qui devrait servir de la SCRO en-têtes, considérez ceci. Vous visitez malicious.com qui contient du JavaScript qui tente de faire une croix domaine demande à mybank.com. Il devrait être à mybank.com, pas malicious.com, de décider si oui ou non il définit la SCRO en-têtes de détendre la même origine politique permettant le JavaScript à partir de malicious.com pour interagir avec elle. Si malicous.com pourrait définir sa propre CORS en-têtes permettant à ses propres JavaScript accès à mybank.com ce serait annuler complètement la même origine.

    Je pense que la raison de ma mauvaise intuition est le point de vue que j'ai lors de l'élaboration d'un site. C'est mon site, avec tous les mon JavaScript, il n'est donc pas de faire quoi que ce soit malveillant et il devrait être à moi pour spécifier d'autres sites mon JavaScript peut interagir avec. Alors qu'en fait, je devrais être en train de penser qui autres sites JavaScript, essayez d'interagir avec mon site et que je devrais utiliser de la SCRO pour leur permettre?

    InformationsquelleAutor Dom
  5. 9

    À l'aide de Réagir et Axios, rejoignez proxy lien vers l'URL et ajouter un en-tête comme indiqué ci-dessous

    https://cors-anywhere.herokuapp.com/ + Your API URL

    Simplement en ajoutant l'Proxy lien fonctionnera, mais il peut aussi jeter erreur d'Aucun Accès à nouveau. Par conséquent préférable d'ajouter un en-tête comme indiqué ci-dessous.

    axios.get(`https://cors-anywhere.herokuapp.com/[YOUR_API_URL]`,{headers: {'Access-Control-Allow-Origin': '*'}})
      .then(response => console.log(response:data);
  }
    • Merci de ne pas le faire. L'utilisation d'un proxy lien, c'est comme remettre les cookies de l'utilisateur à un intermédiaire. Devrait être illégal à mon humble avis
    InformationsquelleAutor Dhaval Jardosh
  6. 8

    Si vous voulez juste tester une croix domaine d'application dans lequel le navigateur bloque votre demande, vous pouvez simplement ouvrir votre navigateur en mode non sécurisé et tester votre application sans modification de votre code, et sans faire de votre code dangereux.
    À partir de MAC OS, vous pouvez le faire à partir de la ligne de terminal:

    open -a Google\ Chrome --args --disable-web-security --user-data-dir
    InformationsquelleAutor Maurizio Brioschi
  7. 6

    1. Un client télécharge le code javascript MyCode.js de http://siteA - l'origine.

    Le code que le téléchargement - code html, balise de script ou xhr de javascript ou autre - est venu à partir de, disons, http://siteZ. Et, lorsque le navigateur demande MyCode.js il envoie une Origine: la tête en disant: "Origine: http://siteZ", car il peut voir ce que vous demandez à siteA et siteZ != siteA. (Vous ne pouvez pas arrêter ou interférer avec cela.)

    2. L'en-tête de réponse de MyCode.js contient Access-Control-Allow-Origin: http://siteB, ce qui signifiait que je pensais MyCode.js été autorisé à faire de la croix-origine renvois vers le site B.

    pas. Cela signifie, Seulement siteB est autorisé à faire cette demande. Si votre demande de MyCode.js à partir siteZ obtient une erreur au lieu de cela, et le navigateur généralement vous donne rien. Mais si vous faites votre serveur de retour A-C-A-O: siteZ au lieu de cela, vous aurez MyCode.js . Ou si il envoie '*', qui marche, qui va permettre à tout le monde en. Ou si le serveur envoie la chaîne de caractères à partir de l'Origine: en-tête... mais... pour la sécurité, si vous avez peur des pirates, votre serveur doit autoriser uniquement les origines sur une liste restreinte, qui sont autorisés à faire ces demandes.

    Puis, MyCode.js vient de siteA. Quand il fait des demandes à siteB, ils sont tous de la croix-origine, le navigateur envoie Origine: siteA, et siteB a prendre le siteA, de reconnaître qu'il est sur la liste des admis aux demandeurs, et de la renvoyer A-C-A-O: siteA. Alors seulement, le navigateur laissez votre script obtenez le résultat de ces demandes.

    InformationsquelleAutor OsamaBinLogin
  8. 6

    je travaille avec express 4 et le nœud de 7,4 et angulaire,j'ai eu le même problème m'aider ce:

    a) côté serveur: dans le fichier app.js je donne des en-têtes à toutes les réponse, comme:

    app.use(function(req, res, next) {  
      res.header('Access-Control-Allow-Origin', req.headers.origin);
      res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
      next();
 });

    cela doit avoir avant tout le routeur.

    J'ai vu beaucoup de ce les en-têtes:

    res.header("Access-Control-Allow-Headers","*");
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');

    mais je n'ai pas besoin qu'

    b) côté client: dans envoyer ajax vous avez besoin d'ajouter: "withCredentials: true," comme:

    $http({
     method: 'POST',
     url: 'url, 
     withCredentials: true,
     data : {}
   }).then(function(response){
        //code  
   }, function (response) {
         //code 
   });

    bonne chance.

    InformationsquelleAutor izik f
  9. 4

    Si vous utilisez PHP, essayez d'ajouter le code suivant au début du fichier php:

    Si vous utilisez localhost, essayez ceci:

    header("Access-Control-Allow-Origin: *");

    Si vous utilisez des domaines externes tels que les serveur, essayez ceci:

    header("Access-Control-Allow-Origin: http://www.website.com");
    InformationsquelleAutor Melvin Guerrero
  10. 3

    En Python, j'ai été en utilisant le Flacon de la SCRO de la bibliothèque avec un grand succès. Il fait affaire avec la SCRO super facile et indolore. J'ai ajouté un peu de code à partir de la bibliothèque de la documentation ci-dessous.

    Installation:

    $ pip install -U flask-cors

    Exemple Simple qui permet de la SCRO pour tous les domaines sur toutes les routes:

    from flask import Flask
from flask_cors import CORS

app = Flask(__name__)
CORS(app)

@app.route("/")
def helloWorld():
  return "Hello, cross-origin-world!"

    Pour des exemples plus spécifiques, consultez la documentation. J'ai utilisé l'exemple simple ci-dessus pour obtenir autour de la question de la SCRO dans un ioniques application que je suis bâtiment qui a accès à un flacon séparé serveur.

    InformationsquelleAutor peachykeen
  11. 2

    Pour l'origine de la croix de partage, de définir l'en-tête: 'Access-Control-Allow-Origin':'*';

    Php: header('Access-Control-Allow-Origin':'*');

    Nœud: app.use('Access-Control-Allow-Origin':'*');

    Cela va permettre de partager des contenus de domaines différents.

    InformationsquelleAutor suryadev
  12. 1

    Il suffit de coller le code suivant dans votre site web.fichier de configuration.

    A noté que, vous devez coller le code suivant sous <system.webServer> tag

        <httpProtocol>  
    <customHeaders>  
     <add name="Access-Control-Allow-Origin" value="*" />  
     <add name="Access-Control-Allow-Headers" value="Content-Type" />  
     <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />  
    </customHeaders>  
  </httpProtocol>
    InformationsquelleAutor Juboraj Sarker
  13. 0

    L'Access-Control-Allow-Origin-tête de réponse indique si le
    la réponse peut être partagé avec la demande de code à partir de la donnée d'origine.

    Header type Response       header
Forbidden header name      no

    Une réponse qui indique au navigateur pour permettre au code de toute origine
    accéder à une ressource seront les suivantes:

    Access-Control-Allow-Origin: *

    Pour plus d'info, visitez ici....

    InformationsquelleAutor Alireza