我正在尝试使用 javascript(在客户端)从我的网站向第三方 api 执行 ajax 请求,但我收到 No 'Access-Control-Allow-Origin' 错误。当尝试从 node.js 项目访问它时,一切正常。 此外,当使用 --disable-web-security 打开 Chrome 时,一切正常。 任何有关此问题的信息将不胜感激:-)
【问题讨论】:
标签: javascript ajax google-chrome cors
如果不使用 CORS,您将无法访问第三方 API。 CORS 将特殊标头(例如 Access-Control-Allow-Origin)添加到 HTTP 响应中。这确保了 API 可以控制哪个前端可以向它发出请求。然而,这意味着您的 API 需要识别您的前端 URL 并接受来自它的请求。
您可以 (a) 在 API 端使用 CORS(需要对 API 进行更改)或 (b) 使用您的服务器端语言发出 API 请求(例如 PHP 向 API 发出请求,而前端end 接收来自 PHP 后端的响应)。浏览器的安全设置禁止其他所有操作。
您可以阅读有关 CORS 的更多信息,例如here.
【讨论】:
evil.com 向backend.com 发出ajax 请求并附加身份验证cookie。因此浏览器不允许你这样做。如果您使用 PHP 或 cURL 发出请求,则不会有与浏览器相同域的任何限制。
*),那么它将在浏览器中工作。但是,如果您对此公共 API 进行了身份验证,则需要确保不使用 cookie(或至少在标头中使用 CSRF 令牌)。如果您尝试从浏览器执行跨域 Ajax 请求,浏览器实际上将首先进行 OPTIONS 调用并询问服务器是否允许前端进行实际调用。浏览器评估 OPTIONS 调用的响应,然后根据 CORS 设置发出实际请求。
OPTIONS 请求以及实际的例如POST 请求在网络选项卡中可见,例如谷歌浏览器开发工具。 CORS 实际上只是带有 OPTIONS 的预检,在预检和实际请求中都有特殊的标头(以 Access-Control- 开头)。