Ionic + express 的 CORS 问题

Question

我创建了一个应用程序，该应用程序正在访问/获取来自不同域（例如 domain_name）的 mongo/node+express 的数据。

get函数的代码是：

var request = $http({
            method: 'GET',
            url: 'https://domain_name.users.io/categories/list',
            withCredentials: true  /* to get the Cookie value generated at server-side */
        });

在快递方面，为了避免 CORS 问题，添加了以下代码：

 res.header("Access-Control-Allow-Origin", "*");
 res.header("Access-Control-Allow-Methods","GET,PUT,POST,DELETE,OPTIONS");
 res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
 res.header("Access-Control-Allow-Credentials", "true");

对于上述情况，我收到以下错误：

XMLHttpRequest cannot load https://domain_name.users.io/data/list. A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'http://localhost:8100' is therefore not allowed access.

我已经检查了 API“https://domain_name.users.io/data/list”并且没有问题，因为我可以看到数据（在浏览器上点击时）。

有人可以帮我做同样的事情吗

Answer 1

必须设置标题：

var request = $http({
            method: 'GET',
            url: 'https://domain_name.users.io/categories/list',
           headers:{'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8'},
            withCredentials: true  /* to get the Cookie value generated at server-side */
        });

==============ON节点侧===============

app.use(function(req, res, next) {
res.setHeader('Access-Control-Allow-Origin', '*');
res.setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS');
res.setHeader('Access-Control-Allow-Headers', 'X-Requested-With,content-type, Authorization, Access-Control-Allow-Origin, Access-Control-Allow-Headers');
 next();
});

Answer 2

此外，* 过于宽松，会破坏凭据的使用。所以使用https://domain_name.users.io/data/list 而不是你使用*。

你不能像*那样做，因为这是安全的一部分，如果你想允许凭据，那么你的 Access-Control-Allow-Origin 不能使用 *。

更多信息请阅读here。