【发布时间】:2012-08-23 19:55:57
【问题描述】:
如何使用 cURL 调试 CORS 请求?到目前为止,我找不到任何“模拟”预检请求的方法。
【问题讨论】:
【发布时间】:2012-08-23 19:55:57
【问题描述】:
以下是使用 curl 调试 CORS 请求的方法。
使用 cUrl 发送常规 CORS 请求:
curl -H "Origin: http://example.com" --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
-H "Origin: http://example.com" 标志是发出请求的第三方域。替换为您的域。
--verbose 标志打印出整个响应,以便您查看请求和响应标头。
我上面使用的 url 是对支持 CORS 的 Google API 的示例请求,但您可以替换为您正在测试的任何 url。
响应应包含Access-Control-Allow-Origin 标头。
使用 cUrl 发送预检请求:
curl -H "Origin: http://example.com" \
-H "Access-Control-Request-Method: POST" \
-H "Access-Control-Request-Headers: X-Requested-With" \
-X OPTIONS --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
这看起来类似于常规的 CORS 请求,但有一些补充:
-H 标志向服务器发送额外的预检请求标头
-X OPTIONS 标志表明这是一个 HTTP OPTIONS 请求。
如果预检请求成功,则响应应包含Access-Control-Allow-Origin、Access-Control-Allow-Methods 和Access-Control-Allow-Headers 响应标头。如果预检请求不成功,则不应出现这些标头,否则 HTTP 响应不会为 200。
您还可以使用-H 标志指定其他标头,例如User-Agent。
【讨论】:
-
该页面似乎没有返回任何 CORS 标头,对吗?
-
为了查看实际的标题,您需要添加
--verbose选项,如上所述。 -
或
--head:curl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\= -
使用 --include 查看标题。
-
在 S3 的情况下,只有在给出正确方法的情况下才会添加相应的标头,您可以使用
curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file来添加。
涵盖大多数情况的更新答案
curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
- 将http://www.example.com/ 替换为您要测试的URL。
- 如果响应包含
Access-Control-Allow-*,则您的资源支持 CORS。
替代答案的理由
我时不时地在谷歌上搜索这个问题,而接受的答案从来都不是我需要的。首先它打印响应正文,其中包含大量文本。添加--head 仅输出标题。其次,在测试 S3 URL 时,我们需要提供额外的标头 -H "Access-Control-Request-Method: GET"。
希望这会节省时间。
【讨论】:
-
如果我在没有设置原点的情况下进行 curl 并且可以返回响应和标头(包括 access-control-allow-origin 标头),这是否意味着我的 CORS 设置不正确? curl -X GET 'endpoint.com' -H 'Cache-Control: no-cache' --head
-
这依赖于
--head使 curl 打印出标题,但它也使 curl 发出HEAD请求而不是GET。根据您要测试的内容,您可能需要发出GET请求。你可以通过添加--IXGET来做到这一点。 -
这不是倒退吗?来源不应该是 example.com 吗?
-
如果请求返回 404 是否意味着除了“您的 url 错误”之外的任何其他内容?
好像就这样行了:
curl -I http://example.com
在返回的标头中查找 Access-Control-Allow-Origin: *
【讨论】:
-
请记住,如果 API 请求需要提供诸如 cookie 之类的凭据,
*将不起作用。在这种情况下,Access-Control-Allow-Origin响应和Access-Control-Allow-Credentials: true中需要 FQDN。尽管 OP 没有将凭据请求指定为要求,但*适用于任何未经身份验证的请求。
下面的 bash 脚本“corstest”对我有用。它基于上面的Jun's 评论。
用法
corstest [-v] 网址
示例
./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *
阳性结果显示为绿色
./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS
否定结果以红色和蓝色显示
-v 选项将显示完整的卷曲标题
corstest
#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139
#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'
red='\033[0;31m'
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'
#
# a colored message
# params:
# 1: l_color - the color of the message
# 2: l_msg - the message to display
#
color_msg() {
local l_color="$1"
local l_msg="$2"
echo -e "${l_color}$l_msg${endColor}"
}
#
# show the usage
#
usage() {
echo "usage: [-v] $0 url"
echo " -v |--verbose: show curl result"
exit 1
}
if [ $# -lt 1 ]
then
usage
fi
# commandline option
while [ "$1" != "" ]
do
url=$1
shift
# optionally show usage
case $url in
-v|--verbose)
verbose=true;
;;
esac
done
if [ "$verbose" = "true" ]
then
curl -s -X GET $url -H 'Cache-Control: no-cache' --head
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)
if [ $? -eq 0 ]
then
color_msg $green "$url $origin"
else
color_msg $red "$url does not support CORS"
color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi
【讨论】:
-
添加 Origin 标头会更好,例如。 -H'origin:mydomain.xyz'
预检请求使用OPTIONS HTTP 方法完成。
假设您要在从 http://mysite.example.com 到 https://myapi.example.com/foo 的 POST 请求上测试 CORS,则命令应为:
curl -XOPTIONS \
-H "Access-Control-Request-Method: POST" \
-H "Origin: http://mysite.example.com" \
https://myapi.example.com/foo
响应是OK 或类似Disallowed CORS origin 的错误消息。如果您愿意,您仍然可以使用 -i 包含标题。
这比发出GET 或HEAD 请求并要求您解释标头的其他一些响应要简单得多。
【讨论】: