向 Shopify 发送 JSON 请求时出现“无‘Access-Control-Allow-Origin’”错误

Question

我有 Shopify 帐户。在管理员面板中，管理员可以将任意数量的产品添加到 Shopify 商店。

但我需要公众用户通过客户端从我的 Shopify 商店注册自定义产品。

我已经尝试了以下代码。

$('#send').click(function() {

        $.ajax({

                /* xxxx...  : Api key
                   yyyy...  : password */
            url: 'https://xxxxxxxxxxxxxxxxxxxxxxxxxx:yyyyyyyyyyyyyyyyyyyyyyy@testing.myshopify.com/admin/orders.json',
            type: 'POST',
            dataType: 'json',
            data: {
                  "product": {
                    "title": "Burton Custom Freestlye 151",
                    "body_html": "<strong>Good snowboard!</strong>",
                    "vendor": "Burton",
                    "product_type": "Snowboard",
                    "tags": "Barnes & Noble, John's Fav, \"Big Air\""
                  }
                },
            success: function(response) {

                alert(response);
            }

        });

    });

我收到以下错误：

XMLHttpRequest 无法加载 https://testing.myshopify.com/admin/orders.json。请求的资源上不存在“Access-Control-Allow-Origin”标头。因此不允许访问 Origin 'http://testing.myshopify.com'。

Answer 1

@迪娜。万一您错过了这种使用 Javascript 非常不安全。

您正在公开您的 API 密钥，因此任何人都可以更改或删除您的整个商店。

改为创建一个私有应用程序，您可以正确控制安全性，并以受控方式使用 Javascript，而不会将您的 API 密钥暴露给外界。

如果您部署这样的不安全代码并且您的客户最终要对发生的非常糟糕的事情负责，您的声誉会以如此之快的速度被破坏，您会感到惊讶。

对于其他陷入此主题的人，您的前端 JS 可以通过调用 App Proxy 来完成此操作，提供安全性以及使用 RestAPI 或 GraphQL 方法进行处理的能力。

Answer 2

这里的问题是您的来源是不安全的 (http://) 而资源是安全的 (https://)。这会导致浏览器将它们视为不同的域，并且由于您的资源 (orders.json) 未指定应允许来自 http:// 版本的 URL 的请求，因此请求失败，因为默认情况下跨域请求是出于安全考虑禁止使用。如果您通过 https:// 访问运行脚本的页面，您应该能够运行相同的脚本。