jQuery $.ajax(), $.post envoyer des “OPTIONS” comme REQUEST_METHOD dans Firefox

Avoir des ennuis avec ce que je pensais était relativement simple plugin jQuery...

Le plugin doit extraire des données à partir d'un script php via ajax pour ajouter des options à un <select>. La requête ajax est assez générique:

$.ajax({
  url: o.url,
  type: 'post',
  contentType: "application/x-www-form-urlencoded",
  data: '{"method":"getStates", "program":"EXPLORE"}',
  success: function (data, status) {
    console.log("Success!!");
    console.log(data);
    console.log(status);
  },
  error: function (xhr, desc, err) {
    console.log(xhr);
    console.log("Desc: " + desc + "\nErr:" + err);
  }
});

Cela semble bien fonctionner dans Safari. Dans Firefox 3.5, le REQUEST_TYPE sur le serveur est toujours "OPTIONS", et le $_POST les données n'apparaissent pas. Logs Apache en tant que demande de type "OPTIONS":

::1 - - [08/Jul/2009:11:43:27 -0500] "OPTIONS sitecodes.php HTTP/1.1" 200 46

Pourquoi cet appel ajax travail dans Safari, mais pas Firefox, et comment dois-je faire pour Firefox?

En-Têtes De Réponse 
Date: Wed, 08 Jul 2009 21:22:17 GMT 
Serveur:Apache/2.0.59 (Unix) PHP/5.2.6 DAV/2 
X-Powered-By: PHP/5.2.6 
Contenu-Durée 46 
Keep-Alive timeout=15, max=100 
Connection Keep-Alive 
Content-Type text/html 

En-Têtes De Requête 
Accueil bon de commande à:8888 
L'Agent utilisateur de Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.5; en-US; rv:1.9.1) Gecko/20090624 Firefox/3.5 
Accepter text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language fr-us,en;q=0.5 
Accept-Encoding gzip,deflate 
Accept-Charset ISO-8859-1,utf-8;q=0.7,*;q=0.7 
Keep-Alive 300 
Connection keep-alive 
Origine http://ux.inetu.act.org 
Contrôle d'accès-Demande-Méthode POST 
Contrôle d'accès-Demande-en-Têtes x-requested-with

Voici une photo de l'Firebug de sortie:

jQuery $.ajax(), $.post envoyer des “OPTIONS” comme REQUEST_METHOD dans Firefox

  • Pouvez-vous poster le firebug réponse et en-têtes de requête. Je n'obtiens pas d'erreur quand je lance un code similaire dans Firefox.
  • Ajout de l'en-tête info, et une photo de Firebug.
  • Juste eu ce même problème lors de la mise en œuvre d'un serveur web intégré. Merci de me le demander 🙂
  • Si vous êtes à la recherche pour Java JAX-RS solutions, voir ici: Access-Control-Allow-Origin
  • Le comportement de firefox semble avoir changé maintenant? Je n'ai aucune option de demandes.
  • Lorsque l'en-tête de réponse contient "Access-Control-Allow-en-Têtes: content-type", j'ai eu une demande d'OPTIONS et ensuite une requête POST.

InformationsquelleAutor fitzgeraldsteele | 2009-07-08
  1. 167

    La raison de l'erreur est la même origine. Il ne vous permet de faire XMLHTTPRequests de votre propre nom de domaine. Voir si vous pouvez utiliser un JSONP rappel de la place:

    $.getJSON( 'http://<url>/api.php?callback=?', function ( data ) { alert ( data ); } );
    • Note: Voir ce docs.jquery.com/Release:jQuery_1.2/... pour plus d'informations sur l'utilisation de JSONP. Vous aurez besoin de les autres "=?" dans votre chaîne de requête pour déclencher JSONP
    • pourquoi firefox est le seul navigateur pour ce faire? Je veux un post pas un get.
    • $.getScript devrait être possible de la croix-domaine, voir docs.jquery.com/Release:jQuery_1.2/Ajax#Cross-Domain_getScript (mais c'est pas pour moi, en FF 3.6)
    • Crossite-POST: quelqu'un connais une solution pour faire un POST avec l'application/json comme Type de Contenu?
    • Alors, quelle est exactement la solution?
    • Vous cherchez une solution pour cela aussi, et à l'aide de getJSON au lieu de l'appel ajax ne pas le faire pour moi, car il est beaucoup plus limitée.
    • pour cela vous allez avoir besoin d'utiliser de la SCRO, ce qui est bien pris en charge dans les navigateurs les plus récents... prise en charge limitée dans IE8-9, et besoins de support côté serveur.
    • avec l'option content-type: "application/json", et la réponse du serveur en-tête contient des "Access-Control-Allow-en-Têtes: content-type", j'ai eu une demande d'OPTIONS et une requête POST, toujours à la recherche d'pourquoi

    InformationsquelleAutor Jonas Skovmand
  2. 56

    J'ai utilisé le code suivant sur Django côté d'interpréter la demande d'OPTIONS et le Contrôle d'Accès des en-têtes. Après cela, ma croix de domaine de demandes de Firefox a commencé à travailler. Comme dit avant, le navigateur envoie d'abord la demande d'OPTIONS, puis immédiatement après que le POST/GET

    def send_data(request):
    if request.method == "OPTIONS": 
        response = HttpResponse()
        response['Access-Control-Allow-Origin'] = '*'
        response['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
        response['Access-Control-Max-Age'] = 1000
        # note that '*' is not valid for Access-Control-Allow-Headers
        response['Access-Control-Allow-Headers'] = 'origin, x-csrftoken, content-type, accept'
        return response
    if request.method == "POST":
        # ...

    Edit: il semble que, au moins dans certains cas, vous devez également ajouter le même Contrôle d'Accès des en-têtes de la réponse réelle. Cela peut être un peu de confusion, car la demande semble réussir, mais Firefox ne passe pas le contenu de la réponse à l'Javascript.

    • Votre modifier le POST/GET réponse est un peu effrayant; si quelqu'un peut confirmer que, alors s'il vous plaît laissez-nous le savoir ici!
    • Je ne sais pas si c'est un bug ou une fonctionnalité, mais il semble que quelqu'un d'autre a remarqué. Voir par exemple kodemaniak.de/?p=62 et de la recherche pour "vider le corps de la réponse"
    • Il y a une différence entre de simples demandes et ceux qui ont besoin de contrôle en amont. Votre "solution" ne fonctionnera qu'avec un contrôle en amont des demandes, c'est donc sans réelle solution. Chaque fois que vous obtenez une "Origine:"-d'en-tête dans les en-têtes de requête, vous devez répondre avec que d'être autorisé.
    • Je crois que l'en-tête Access-Control-Allow-Headers doit contenir la valeur x-csrf-token, pas x-csrftoken.
    InformationsquelleAutor Juha Palomäki
  3. 16

    Ce mozilla developer center article décrit les différentes croix-demande de domaine scénarios. L'article semble indiquer qu'une requête POST avec le type de contenu 'application/x-www-form-urlencoded' doit être envoyé comme simple demande (qui n'ont pas de contrôle en amont des OPTIONS de demande). J'ai trouvé , cependant, que Firefox a envoyé la demande d'OPTIONS, même si mon message a été envoyé avec ce type de contenu.

    J'ai été capable de faire ce travail par la création d'un gestionnaire de requêtes sur le serveur, le jeu de la "Access-Control-Allow-Origin' en-tête de réponse à '*'. Vous pouvez être plus restrictive, en mettant quelque chose de spécifique, comme"http://someurl.com'. Aussi, j'ai lu que, soi-disant, vous pouvez spécifier une liste séparée par des virgules des origines multiples, mais je ne pouvais pas obtenir que cela fonctionne.

    Une fois Firefox reçoit la réponse à la demande d'OPTIONS avec une acceptables "Access-Control-Allow-Origin' valeur, il envoie une requête POST.

    InformationsquelleAutor Mike C
  4. 15

    J'ai résolu ce problème en utilisant un à être entièrement basé sur Apache solution. Dans mon vhost /htaccess j'ai mis le bloc suivant:

    # enable cross domain access control
Header always set Access-Control-Allow-Origin "*"
Header always set Access-Control-Allow-Methods "POST, GET, OPTIONS"

# force apache to return 200 without executing my scripts
RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule .* / [R=200,L]

    Vous ne pouvez pas besoin de la dernière partie, selon ce qui se passe quand Apache s'exécute cible de votre script. Le crédit va à la amicale ServerFault folk pour la dernière partie.

    • Votre réponse m'a aidé, mais si besoin d'un peu de logique derrière la SCRO, il ne résout pas complètement.
    InformationsquelleAutor Mark McDonald
  5. 10

    Ce PHP en haut de la réponse script semble fonctionner. (Avec Firefox 3.6.11. Je n'ai pas encore fait beaucoup de tests.)

    header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST, GET, OPTIONS');
header('Access-Control-Max-Age: 1000');
if(array_key_exists('HTTP_ACCESS_CONTROL_REQUEST_HEADERS', $_SERVER)) {
    header('Access-Control-Allow-Headers: '
           . $_SERVER['HTTP_ACCESS_CONTROL_REQUEST_HEADERS']);
} else {
    header('Access-Control-Allow-Headers: *');
}

if("OPTIONS" == $_SERVER['REQUEST_METHOD']) {
    exit(0);
}
    • Cela peut être une question de goût, mais toujours l'envoi de ces en-têtes de réponse (également pour GET, POST, ...) est un peu trop à mon goût. (Et, je me demande toujours si l'envoi de ces est conforme avec les spécifications?)
    • l'envelopper dans un if($_SERVER['HTTP_ORIGIN']). Si cet en-tête est là, c'est un SCRO-demande, si ce n'est, bien, pas besoin d'envoyer quoi que ce soit.
    InformationsquelleAutor Chad Clark
  6. 7

    J'ai eu le même problème avec l'envoi de requêtes à google maps, et la solution est assez simple avec jQuery 1.5 - pour le type de données à utiliser dataType: "jsonp"

    • Incompatible avec la méthode POST.
    • Il fonctionne avec une méthode GET, mais c'est d'une part très limitée de la solution. Par exemple, en faisant de sorte que vous ne pouvez pas envoyer une réponse avec un en-tête spécifique, y compris un jeton.
    InformationsquelleAutor Slav
  7. 6

    Coupable, c'est le contrôle en amont de la demande à l'aide des OPTIONS de la méthode

    Pour la requête HTTP méthodes qui peuvent provoquer des effets secondaires sur les données de l'utilisateur (en particulier pour les méthodes HTTP autres que GET ou POST pour utilisation avec certains types MIME), le cahier des charges des mandats que les navigateurs "contrôle en amont" de la demande, de solliciter des méthodes prises en charge par le serveur avec un HTTP OPTIONS de demande de la méthode, puis, lors de "l'approbation" à partir du serveur, l'envoi de la demande réelle avec la méthode de requête HTTP.

    Web spécification de référence: https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

    J'ai résolu le problème en ajoutant des lignes suivantes dans la conf Nginx.

        location / {
               if ($request_method = OPTIONS ) {
                   add_header Access-Control-Allow-Origin  "*";
                   add_header Access-Control-Allow-Methods "POST, GET, PUT, UPDATE, DELETE, OPTIONS";
                   add_header Access-Control-Allow-Headers "Authorization";
                   add_header Access-Control-Allow-Credentials  "true";
                   add_header Content-Length 0;
                   add_header Content-Type text/plain;
                   return 200;
               }
    location ~ ^/(xxxx)$ {
                if ($request_method = OPTIONS) {
                    rewrite ^(.*)$ / last;
                }
    }
    • Cette réponse est très utile, merci. Le fait que le navigateur envoie une demande de contrôle en amont avec une méthode des OPTIONS n'est pas évidente.
    InformationsquelleAutor thinkhy
  8. 4

    J'étais à la recherche par le biais de source 1.3.2, lors de l'utilisation de JSONP, la demande est faite par la construction d'un élément de SCRIPT dynamique, qui obtient passé les navigateurs Même domaine politique. Naturellement, vous ne pouvez pas faire une requête POST à l'aide d'un élément de SCRIPT, le navigateur de récupérer le résultat de l'utilisation de l'OBTENIR.

    Que vous demandez un JSONP appel, l'élément SCRIPT n'est pas généré, car il ne présente lorsque le Type de l'appel AJAX est réglé pour OBTENIR.

    http://dev.jquery.com/ticket/4690

    InformationsquelleAutor
  9. 3

    Nous avons eu un problème comme ça avec ASP.Net. Notre IIS retournait une Erreur Interne du Serveur lorsque vous tentez d'exécuter un jQuery $.post pour obtenir le code html contenu en raison de PageHandlerFactory a été limitée à répondre seulement GET,HEAD,POST,DEBUG Verbes. Ainsi, vous pouvez modifier la restriction en ajoutant le verbe "OPTIONS" de la liste ou sélectionnez l'option "Tous les Verbes"

    Vous pouvez modifier dans votre Gestionnaire des services internet, en sélectionnant votre site web, puis en sélectionnant Mappages de gestionnaires, double-cliquez dans votre PageHandlerFactory pour *.apx fichiers que vous avez besoin (Nous utilisons une application Intégrée de la piscine avec le framework 4.0). Cliquez sur Demande de Restriction, puis aller pour les Verbes Tabn et appliquer vos modifications.

    Maintenant notre $.post demande fonctionne comme prévu 🙂

    InformationsquelleAutor fboiton
  10. 2

    Vérifier si votre formulaire action URL contient le www partie du domaine, tandis que la page d'origine que vous avez ouvert est considéré sans www.

    Typiquement fait pour les Urls Canoniques..

    J'ai lutté pendant des heures avant de tomber sur cet article et a trouvé l'astuce de la Croix de Domaine.

    InformationsquelleAutor
  11. 2

    Je semble que si o.url = 'index.php' et ce fichier existe, c'est ok et retour d'un message de succès dans la console. Il renvoie une erreur si j'utilise l'url:http://www.google.com

    Si faire une requête post, pourquoi ne pas utiliser directement le $.post méthode:

    $.post("test.php", { func: "getNameAndTime" },
    function(data){
        alert(data.name); //John
        console.log(data.time); // 2pm
    }, "json");

    C'est tellement plus simple.

    • Eu la même chose avec ce...pensé que je devrais utiliser $.ajax() afin que je puisse au moins obtenir quelques informations de débogage sur la condition d'erreur..
    InformationsquelleAutor Elzo Valugi
  12. 1

    J'ai posté un exemple clair de la façon de résoudre ce cas de contrôle le code du serveur de domaine que vous postez. Cette réponse est abordé dans ce fil, mais plus clairement, il explique l'OMI.

    Comment puis-je envoyer un cross-domain requête POST via JavaScript?

    InformationsquelleAutor rynop
  13. 1

    Solution c'est:

    1. utiliser le type de données: json
    2. ajouter &callback=? à votre url

    cette travaillé sur l'appel de Facebook API et avec Firefox. Firebug est à l'aide de GET au lieu de OPTIONS avec les conditions ci-dessus (les deux).

    • pourquoi ne pas vous montrer un peu de code
    InformationsquelleAutor Antonio Gulli
  14. 1

    Une autre possibilité de contourner le problème est d'utiliser un script de proxy. Cette méthode est décrite pour exemple ici

    InformationsquelleAutor Niehztog
  15. 0

    Pouvez-vous essayer ce sans

    contentType:application/x-www-form-urlencoded

    • Même résultat, j'en ai peur.
    InformationsquelleAutor Mathias F
  16. 0

    Essayez d'ajouter l'option:

    dataType: "json"

    • qui a travaillé, pourquoi json est considéré comme "sûr" pour les demandes inter-domaine?
    • ne fonctionne pas pour jQuery demandes de WCF
    InformationsquelleAutor ScottE
  17. 0
     function test_success(page,name,id,divname,str)
{ 
 var dropdownIndex = document.getElementById(name).selectedIndex;
 var dropdownValue = document.getElementById(name)[dropdownIndex].value;
 var params='&'+id+'='+dropdownValue+'&'+str;
 //makerequest_sp(url, params, divid1);

 $.ajax({
    url: page,
    type: "post",
    data: params,
    //callback handler that will be called on success
    success: function(response, textStatus, jqXHR){
        //log a message to the console
        document.getElementById(divname).innerHTML = response;

        var retname = 'n_district';
        var dropdownIndex = document.getElementById(retname).selectedIndex;
        var dropdownValue = document.getElementById(retname)[dropdownIndex].value;
        if(dropdownValue >0)
        {
            //alert(dropdownValue);
            document.getElementById('inputname').value = dropdownValue;
        }
        else
        {
            document.getElementById('inputname').value = "00";
        }
        return;
        url2=page2; 
        var params2 = parrams2+'&';
        makerequest_sp(url2, params2, divid2);

     }
});         
}
    • La question a déjà été répondu il y a 6 mois. Comment est-ce la solution?
    InformationsquelleAutor Naser Gulzade
  18. 0

    J'ai eu un problème similaire avec le fait d'essayer d'utiliser le Facebook de l'API.

    La seule contentType qui n'a pas envoyer le Contrôlé la demande semble être juste text/plain... pas le reste des paramètres mentionnés à mozilla ici

    • Pourquoi est-ce le seul navigateur qui fait cela?
    • Pourquoi ne pas Facebook connaître et accepter le contrôle en amont de la demande?

    Pour info: celui-ci Moz doc suggère X-Lori-têtes doivent déclencher un Contrôlé demande ... il ne fait pas.

    • Merci. text/plain résolu mon problème.
    InformationsquelleAutor Drew
  19. 0

    Vous avez besoin de faire un peu de travail sur le côté serveur. Je vois que vous êtes à l'aide de PHP côté serveur, mais la solution pour .NET application web est ici:
    Impossible de définir le type de contenu pour "application/json" en jQuery.ajax

    Faire la même chose en PHP script et il fonctionne. Tout simplement: À la première demande, navigateur demande de serveur s'est autorisé à envoyer ces données avec ce type et la deuxième demande est la bonne/autorisés.

    InformationsquelleAutor Fanda
  20. 0

    Essayez d'ajouter le suivant:

    dataType: "json",
ContentType: "application/json",
data: JSON.stringify({"method":"getStates", "program":"EXPLORE"}),
    InformationsquelleAutor Mary Jain
  21. 0

    J'ai utilisé une url de proxy pour résoudre un problème similaire quand je veux publier des données sur mon apache solr hébergé dans un autre serveur. (Cela peut ne pas être la réponse parfaite, mais elle n'en résout mon problème.)

    Suivre cette URL: En utilisant le Mode de Réécriture pour proxy, j'ajoute cette ligne à mon httpd.conf:

     RewriteRule ^solr/(.*)$ http://ip:8983/solr$1 [P]

    Par conséquent, je peux juste poster des données vers /solr au lieu de publier des données à http://ip:8983/solr/*. Puis, ce sera la publication des données de la même origine.

    InformationsquelleAutor Bernice
  22. 0

    J'ai déjà ce code de manutention eh bien, mon cors situation en php:

    header( 'Access-Control-Allow-Origin: '.CMSConfig::ALLOW_DOMAIN );
header( 'Access-Control-Allow-Headers: '.CMSConfig::ALLOW_DOMAIN );
header( 'Access-Control-Allow-Credentials: true' );

    Et ça marchait très bien en local et à distance, mais pas pour les téléchargements à distance.

    Que quelque chose se produise avec apache/php OU mon code, je n'ai pas pris la peine de le chercher, lorsque vous demandez des OPTIONS, il retourne ma tête avec de la scro règles, mais avec 302 résultat. Par conséquent, mon navigateur ne reconnaît pas acceptable de la situation.

    Ce que j'ai fait, basé sur @Mark McDonald réponse, c'est de mettre ce code après mon en-tête:

    if( $_SERVER['REQUEST_METHOD'] === 'OPTIONS' )
{
    header("HTTP/1.1 202 Accepted");
    exit;
}

    Maintenant, lors de la demande de OPTIONS il suffit d'envoyer l'en-tête et 202 résultat.

    InformationsquelleAutor Ratata Tata
  23. -1

    S'il vous plaît noter:

    JSONP prend uniquement en charge la demande de la méthode.

    *Envoyer la demande par firefox:*

    $.ajax({
   type: 'POST',//<<===
   contentType: 'application/json',
   url: url,
   dataType: "json"//<<=============
    ...
});

    Au-dessus de demande d'envoyer par OPTIONS(tout ==>type: 'POST')!!!!

    $.ajax({
    type: 'POST',//<<===
    contentType: 'application/json',
    url: url,
    dataType: "jsonp"//<<==============
    ...
});

    Mais au-dessus de demande d'envoyer par OBTENIR(tout ==>type: 'POST')!!!!

    Lorsque vous êtes dans "la croix-domaine de la communication" , faites attention et soyez prudent.

    InformationsquelleAutor M.Namjo