共 (6) 个答案

1. # 1 楼答案

   出现错误的原因是CORS标准，该标准对JavaScript如何执行ajax请求设置了一些限制

   CORS标准是在浏览器中实现的客户端标准。因此，阻止呼叫完成并生成错误消息的是浏览器，而不是服务器

   Postman没有实现CORS限制，这就是为什么当从Postman发出相同的呼叫时，您不会看到相同的错误

   为什么邮递员不实施CORS？CORS定义了与发起请求的页面的来源（URL域）相关的限制。但在Postman中，请求并不来自带有URL的页面，因此CORS不适用

2. # 2 楼答案

   WARNING: Using Access-Control-Allow-Origin: * can make your API/website vulnerable to cross-site request forgery (CSRF) attacks. Make certain you understand the risks before using this code.

   如果您使用PHP，那么解决这个问题非常简单。只需在处理请求的PHP页面的开头添加以下脚本：

   <?php header('Access-Control-Allow-Origin: *'); ?>
   

   如果使用Node-red，则必须通过取消注释以下行，在node-red/settings.js文件中允许CORS：

   // The following property can be used to configure cross-origin resource sharing
   // in the HTTP nodes.
   // See https://github.com/troygoode/node-cors#configuration-options for
   // details on its contents. The following is a basic permissive set of options:
   httpNodeCors: {
    origin: "*",
    methods: "GET,PUT,POST,DELETE"
   },
   

   如果您使用的是与问题相同的Flask；您必须首先安装flask-cors

   $ pip install -U flask-cors
   

   然后将烧瓶COR包括在您的应用程序中

   from flask_cors import CORS
   

   一个简单的应用程序如下所示：

   from flask import Flask
   from flask_cors import CORS
   
   app = Flask(__name__)
   CORS(app)
   
   @app.route("/")
   def helloWorld():
     return "Hello, cross-origin-world!"
   

   有关更多详细信息，请查看Flask documentation

3. # 3 楼答案

   在下面作为API的调查中，我使用了http://example.com而不是您问题中的http://myApiUrl/login，因为第一个有效

   我假设您的页面位于http://my-site.local:8088.

   您看到不同结果的原因是邮递员：

   • 设置头Host=example.com（您的API）
   • 未设置头Origin

   这类似于浏览器在站点和API具有相同域时发送请求的方式（浏览器也设置了头项Referer=http://my-site.local:8088，但我在Postman中没有看到）当Origin头未设置时，通常默认情况下服务器允许此类请求

   

   这是邮递员发送请求的标准方式。但是当您的站点和API具有不同的域时，浏览器会以不同的方式发送请求，然后发生CORS，浏览器会自动：

   • 设置头Host=example.com（您的作为API）
   • 设置标题Origin=http://my-site.local:8088（您的站点）

   （头Referer的值与Origin的值相同）。现在在Chrome的控制台&；网络选项卡您将看到：

   

   

   当您有Host != Origin时，这是CORS，当服务器检测到这样的请求时，通常默认情况下会阻止它

   Origin=null是在从本地目录打开HTML内容时设置的，它会发送一个请求。同样的情况是，当您在<iframe>内发送请求时，如下面的代码段中所示（但这里根本没有设置Host头）-一般来说，只要HTML规范说源代码不透明，您就可以将其转换为Origin=null。关于这方面的更多信息，您可以找到here

   &13； 第13部分,；

   fetch('http://example.com/api', {method: 'POST'});

   ；

   Look on chrome-console > network tab

   ；

   和#13；

   和#13；

   如果您不使用简单的CORS请求，通常浏览器在发送主请求之前也会自动发送一个选项请求-详细信息如下here。下面的代码片段显示了这一点：

   &13； 第13部分,；

   fetch('http://example.com/api', {
     method: 'POST',
     headers: { 'Content-Type': 'application/json'}
   });

   ；

   Look in chrome-console -> network tab to 'api' request.
   This is the OPTIONS request (the server does not allow sending a POST request)

   ；

   和#13；