L'origine n'est pas autorisée par Access-Control-Allow-Origin

Je suis en train de faire un Ajax.request à distance à un serveur PHP dans un Sencha Touch 2 application (enveloppé dans PhoneGap).

La réponse du serveur est la suivante:

XMLHttpRequest ne peut pas charger http://nqatalog.negroesquisso.pt/login.php. Origine http://localhost:8888 n'est pas autorisé par Access-Control-Allow-Origin.

Comment puis-je résoudre ce problème?

  • alors que l'aide de jQuery, réglage dataType: 'jsonp', fait le tour
  • par la façon qui n'est pas la réponse du serveur. Pour être précis, que l'erreur est émis sur le côté client.
  • Le jsonp trick sans doute ne fonctionne plus, pour info: stackoverflow.com/questions/12216208/...
  • Remarque, car je viens de perdre une demi-journée à chasser ce bug - Si le côté serveur script échoue avec une erreur interne du serveur, le navigateur peut l'interpréter comme si la demande n'a pas permis en raison de Access-Control-Allow-Origin et de faire rapport à ce que l'erreur.
  • Il y a une extension pour ça!
  • Vous avez juste a sauvé ma vie. J'ai été à la recherche pour certains de la SCRO erreur depuis 3 jours, et c'était tout simplement un peu de configuration Spring problème à l'origine de 500, que j'ai résolu en 5 minutes une fois que j'ai lu votre commentaire et j'ai effectivement cherché. Merci!!!!

InformationsquelleAutor Ricardo | 2012-04-13
  1. 374

    J'ai écrit un article sur cette question pendant un certain temps, Croix de Domaine AJAX.

    La façon la plus simple de gérer cela si vous avez le contrôle de la réponse du serveur est d'ajouter un en-tête de réponse pour:

    Access-Control-Allow-Origin: *

    Cela permettra à la croix-domaine Ajax. En PHP, vous aurez envie de modifier la réponse de la sorte:

    <?php header('Access-Control-Allow-Origin: *'); ?>

    Vous pouvez simplement mettre les Header set Access-Control-Allow-Origin * paramètre dans le Apache de configuration ou fichier htaccess.

    Il convient de noter que cela permet de désactiver la protection de la SCRO, qui très probable expose à vos utilisateurs d'attaque. Si vous ne savez pas que vous avez spécifiquement besoin d'utiliser un caractère générique, vous ne devriez pas l'utiliser, et au lieu de cela, vous devriez liste blanche de votre domaine spécifique:

    <?php header('Access-Control-Allow-Origin: http://example.com') ?>
    • Je vais contacter mon fournisseur de serveur. Merci
    • Existe-il des problèmes de sécurité avec cela? Cette réponse, par exemple, dit: "le JavaScript est limitée par le "même de la politique d'origine" pour des raisons de sécurité, Par exemple, un script malveillant ne peut pas communiquer avec un serveur distant et d'envoyer les données sensibles de votre site."
    • Génial, je viens de mettre dans mon node.js serveur de fichiers: réponse.writeHead(200, {"Content-Type": contentType, "Access-Control-Allow-Origin': '*' }); Et cela a fonctionné. Merci!
    • JohnK, oui, le joker va permettre à n'importe quel domaine pour envoyer des requêtes à votre hôte. Je recommande de remplacer l'astérisque avec un domaine spécifique qui vous permettra d'exécuter des scripts sur.
    • Euh, vous ne devriez même pas suggérer le caractère générique. C'est d'une grande sécurité pas et doit être utilisé uniquement si vous savez vraiment ce que vous faites, voir code.google.com/p/html5security/wiki/CrossOriginRequestSecurity C'est effrayant de voir cette réponse upvoted à de nombreuses reprises.
    • Il est intéressant que vous pensez que le générique ne devrait même pas être proposé @jfrej. Tout dépend de votre objectif. Par exemple, la raison pour laquelle nous avons utilisé le générique (et posté cette réponse) était parce que nous étions en train de bâtir une application intégrée pour n'importe quel site à utiliser.
    • il est intéressant de noter que le générique d'Origine ne peut pas être utilisé avec Access-Control-Allow-Pouvoirs
    • Travailler avec Asp Mvc Api, j'ai aussi besoin de cette réponse pour faire tous les morceaux de venir ensemble stackoverflow.com/questions/12405459/...
    • Où voulez-vous ajouter ce dans les rails 5?
    • Ne fonctionne pas pour les fichiers en cours d'exécution localement.

    InformationsquelleAutor Matt Mombrea
  2. 62

    Si vous ne pas ont le contrôle du serveur, vous pouvez simplement ajouter cet argument à votre lanceur d'applications google Chrome: --disable-web-security.

    Remarque que je ne voudrais pas utiliser ce normal de "surfer sur le web". Pour référence, voir ce post: Désactiver la même origine dans Chrome.

    Vous pouvez utiliser Phonegap pour construire l'application et l'installer sur l'appareil, ce ne sera pas un problème.

    • Merci. Mais mon application est en cours d'exécution sur les appareils mobiles, je ne peux pas passer des arguments à mon webview wrapper.
    • Ne pas tester votre application dans un navigateur en premier? Comment déboguer?
    • Oui j'ai de débogage dans le navigateur google Chrome, mais l'app ne courir sur chrome. Il sera sur phonegap webview sorcière je ne peux pas contrôler.
    • comment diable faites-vous cela? Je l'ai regarder et ne peut pas trouver ce paramètre à l'intérieur de chrome.
    • lire la réponse: vous pouvez simplement ajouter cet argument à votre lanceur d'applications google Chrome. Il n'y a pas de réglage pour le présent à l'intérieur de Chrome
    • à partir de la CLI, vous pouvez ouvrir le navigateur en tapant /PATH_TO_CHROME/Chrome.app --args --disable-web-sécurité
    • Ce n'est pas une bonne recommandation - il ne fera que masquer le problème et de le faire fonctionner sur votre machine de développement. Cette approche signifie que votre application va interrompre la production depuis vos utilisateurs ne disposent pas de la sécurité est désactivée. Suivez l'on a accepté la réponse ci-dessus pour bien résoudre ce problème.
    • Bien sûr, c'est l'insécurité. L'OP est en demandant un moyen de contourner les mesures de sécurité.
    • il sert à être à travailler, mais je suppose que dans chrome 49 il n'est pas!
    • mise à jour: ce que vous devez faire est d'utiliser l'option --user-data-dir et --disable-web-drapeaux de sécurité(pour chrome 49+).

    InformationsquelleAutor Travis Webb
  3. 42

    Si vous utilisez Apache juste ajouter:

    <ifModule mod_headers.c>
    Header set Access-Control-Allow-Origin: *
</ifModule>

    dans votre configuration. Ce sera la cause de toutes les réponses de votre serveur pour être accessible à partir de tout autre site sur l'internet. Si vous avez l'intention d'autoriser uniquement les services de votre hôte pour être utilisé par un serveur spécifique, vous pouvez remplacer la * avec l'URL du serveur d'origine:

    Header set Access-Control-Allow-Origin: http://my.origin.host
    • Et n'oubliez pas de charger le module: a2enmod en-têtes
    • comment charger le module:a2enmod les en-têtes ?
    InformationsquelleAutor Reza S
  4. 18

    Si vous avez un ASP.NET /ASP.NET MVC application, vous pouvez inclure cet en-tête via le Web.fichier de configuration:

    <system.webServer>
  ...

    <httpProtocol>
        <customHeaders>
            <!-- Enable Cross Domain AJAX calls -->
            <remove name="Access-Control-Allow-Origin" />
            <add name="Access-Control-Allow-Origin" value="*" />
        </customHeaders>
    </httpProtocol>
</system.webServer>
    • .NET MVC, les Gens, REGARDEZ ici! Je vais taper une solution et de point pour cette réponse sur mon blog pour que les gens puissent trouver plus facilement. Rien de pire que d'essayer d'obtenir des passé une .NET/MVC obstacle et ne rien trouver, mais PHP/jQuery solutions. Merci @Caio-Proiete
    • Comment se fait que cela ne fonctionne pas pour moi? Je suis en utilisant google Chrome et d'essayer d'accéder à yahoo finance page de mon localhost.
    • merci cela a fonctionné pour moi. J'ai ajouté dans le projet de code côté serveur (web.config).
    InformationsquelleAutor Caio Proiete
  5. 15

    C'était la première question/réponse qui est apparu pour moi, en essayant de résoudre le même problème en utilisant ASP.NET MVC comme la source de mes données. Je me rends compte que cela ne suffit pas à résoudre le PHP question, mais il est lié assez pour être utile.

    Je suis en utilisant ASP.NET MVC. Le blog de Greg Brant a fonctionné pour moi. En fin de compte, vous créez un attribut, [HttpHeaderAttribute("Access-Control-Allow-Origin", "*")], que vous êtes en mesure d'ajouter aux actions de contrôleur.

    Par exemple:

    public class HttpHeaderAttribute : ActionFilterAttribute
{
    public string Name { get; set; }
    public string Value { get; set; }
    public HttpHeaderAttribute(string name, string value)
    {
        Name = name;
        Value = value;
    }

    public override void OnResultExecuted(ResultExecutedContext filterContext)
    {
        filterContext.HttpContext.Response.AppendHeader(Name, Value);
        base.OnResultExecuted(filterContext);
    }
}

    Et ensuite de l'utiliser avec:

    [HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]
public ActionResult MyVeryAvailableAction(string id)
{
    return Json( "Some public result" );
}
    InformationsquelleAutor badMonkey
  6. 10

    Comme Matt Mombrea est correct pour le côté serveur, vous pouvez exécuter dans un autre problème qui est des listes d'autorisation de rejet.

    Vous devez configurer votre phonegap.plist. (Je suis en utilisant une ancienne version de phonegap)

    Pour cordova, il pourrait y avoir quelques changements dans le nommage et d'annuaire. Mais la procédure doit être essentiellement les mêmes.

    D'abord sélectionner les fichiers > PhoneGap.plist

    L'origine n'est pas autorisée par Access-Control-Allow-Origin

    puis sous "ExternalHosts"

    Ajouter une entrée, d'une valeur de peut-être "http://nqatalog.negroesquisso.pt"
    Je suis à l'aide de * à des fins de débogage seulement.

    L'origine n'est pas autorisée par Access-Control-Allow-Origin

    InformationsquelleAutor steve0hh
  7. 7

    Cela peut être pratique pour ceux qui ont besoin d'une exception pour les " www " et " non-www versions d'un référent:

     $referrer = $_SERVER['HTTP_REFERER'];
 $parts = parse_url($referrer);
 $domain = $parts['host'];

 if($domain == 'google.com')
 {
         header('Access-Control-Allow-Origin: http://google.com');
 }
 else if($domain == 'www.google.com')
 {
         header('Access-Control-Allow-Origin: http://www.google.com');
 }
    • M'a orienté dans la bonne direction dans la résolution de ACAO erreur avec azure. Alors que j'avais ajouté permis de nom d'hôte de sur googledrive. L'URL utilisée doit être sur googledrive PAS sur googledrive
    InformationsquelleAutor lewsid
  8. 7

    Je vais vous donner une solution simple pour celui-ci. Dans mon cas, je n'ai pas accès à un serveur. Dans ce cas, vous pouvez modifier la stratégie de sécurité de votre Google Chrome navigateur pour permettre Access-Control-Allow-Origin. C'est très simple:

    1. Créer un raccourci du navigateur Chrome
    2. Clic droit icône de raccourci -> Propriétés -> Raccourcis -> Cible

    Simple coller dans "C:\Program Files\Google\Chrome\Application\chrome.exe" --allow-file-access-from-files --disable-web-security.

    L'emplacement peut varier. Maintenant, ouvrez google Chrome en cliquant sur ce raccourci.

    • désactivation de la sécurité sur le web ne semble pas être la solution idéale...
    InformationsquelleAutor Dibish
  9. 7

    Que j'ai pu croiser à quelques reprises lorsque l'on travaille avec différentes Api. Souvent une solution rapide consiste à ajouter "&callback=?" à la fin d'une chaîne. Parfois, le commercial doit être un code de caractère, et parfois un "?": "?rappel=?" (voir Les prévisions.io Utilisation de l'API avec jQuery)

    InformationsquelleAutor Francis Baptiste
  10. 6

    Si vous êtes en train de rédiger une Extension Chrome et vous obtenez cette erreur, alors assurez-vous d'avoir ajouté l'API de base de l'URL de votre manifest.json's les autorisations de bloc, exemple:

    "permissions": [
    "https://itunes.apple.com/"
]
    InformationsquelleAutor itzg
  11. 6

    si vous êtes sous apache, il suffit d'ajouter le .fichier htaccess dans votre répertoire avec ce contenu:

    Header set Access-Control-Allow-Origin: *

Header set Access-Control-Allow-Headers: content-type

Header set Access-Control-Allow-Methods: *
    InformationsquelleAutor Vero O
  12. 5

    C'est à cause de de même la politique de l'origine. Voir plus à Mozilla Developer Network ou Wikipédia.

    Pour l'essentiel, dans votre exemple, vous devez charger le http://nqatalog.negroesquisso.pt/login.php page de nqatalog.negroesquisso.pt, pas localhost.

    • Mais j'ai besoin de charger le service web à partir d'un appareil mobile, je voudrais un contourner cela?
    • Eh bien, vous devez faire quelque côté serveur modifications ou l'utilisation JSONP en.wikipedia.org/wiki/JSONP
    InformationsquelleAutor antyrat
  13. 5

    Dans Ruby on Rails, vous pouvez le faire dans un contrôleur:

    headers['Access-Control-Allow-Origin'] = '*'
    • ce contrôleur ne vous le mettez dans si c'est un appel ajax? Puis-je voir plus de code dans le contexte?
    InformationsquelleAutor fuzzyalej
  14. 5

    Vous pouvez le faire fonctionner sans modifiying le serveur en faisant le navigateur, y compris l'en-tête Access-Control-Allow-Origin: * dans les OPTIONS HTTP réponses.

    Dans Chrome, utilisez cette extension. Si vous êtes sur Mozilla vérifier cette réponse.

    InformationsquelleAutor forzagreen
  15. 5

    Si vous obtenez ce dans Angular.js, alors assurez-vous de vous échapper de votre numéro de port comme ceci:

    var Project = $resource(
    'http://localhost\\:5648/api/...', {'a':'b'}, {
        update: { method: 'PUT' }
    }
);

    Voir ici pour plus d'info sur elle.

    InformationsquelleAutor Marius
  16. 4

    Nous avons également le même problème avec l'application phonegap testé dans chrome.
    Une machine windows, nous utilisons ci-dessous fichier de commandes tous les jours avant l'Ouverture de google Chrome.
    Rappelez-vous, avant d'exécuter ce que vous devez nettoyer toutes les instance de google chrome à partir du gestionnaire des tâches ou vous pouvez sélectionner chrome pour ne pas s'exécuter en arrière-plan.

    LOT: (cmd)

    cd D:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-web-security
    InformationsquelleAutor abksharma
  17. 1

    En Ruby Sinatra

    response['Access-Control-Allow-Origin'] = '*'

    pour tout le monde ou

    response['Access-Control-Allow-Origin'] = 'http://yourdomain.name'
    InformationsquelleAutor Mikhail Chuprynski
  18. 0

    Lorsque vous recevez la demande, vous pouvez 

    var origin = (req.headers.origin || "*");

    que lorsque vous avez la réponse aller avec quelque chose comme ça:

    res.writeHead(
    206,
    {
        'Access-Control-Allow-Credentials': true,
        'Access-Control-Allow-Origin': origin,
    }
);
    InformationsquelleAutor Alessandro Annini