带有基本身份验证的 GET 请求来自 Postman 但不是来自浏览器

Question

我正在使用 odata api，当我使用邮递员发出 GET 请求时，效果很好，并且我得到了预期的响应。

但是，当我从我的 React 应用程序中使用 fetch 请求时，该请求会引发 401，使用的标头与我之前在 Postman 中使用的标头相同。它说Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access. The response had HTTP status code 401.

知道如何解决这个请求吗？ 谢谢！

fetch('https://api4.successfactors.com/odata/v2/', {
  method: 'GET',
  headers: {
    authorization: `Basic ${auth}`, //auth is the encoded base64 username:password
  },
})
  .then(response => response.json())
  .then((response) => {
    console.log('in response: ', response);
  })
  .catch((error) => {
    console.log('in fetchJobs error: ', error);
  });

这是我得到的 401....

Answer 1

这很可能是因为 Postman 可能没有在您的 GET 之前发送预检 Options 请求，并且在收到 GET 响应后不会执行任何类型的 cors 检查（因为它不会真的无论如何都有意义）。

另一方面，当从您的网页运行代码时，Chrome 会同时执行预检 Options 以确定允许将哪些跨域请求参数发送到远程服务器并检查对 @987654326 的响应是否@req 有适当的 Access-Control-Allow-Origin 标头来授权您的 origin（即您发出请求的页面的域）。

通常，浏览器将预检Options 发送到服务器，询问服务器是否允许执行它即将执行的操作 - 在您的情况下，是GET。如果远程（跨域）服务器在授权您的GET 的响应中未使用正确的标头响应 prelight Options 请求，则浏览器将不会发送。但是，您甚至还没有走那么远，因为对您的 Options 请求的响应本身甚至没有通过 cors origin 检查。

如果您控制服务器，则需要通过在响应上设置Access-Control-Allow-Origin 标头来响应Options 请求以包含您的请求页面的origin，并设置Access-Control-Allow-Methods 以包含GET（也可能是OPTIONS）。如果您不控制远程服务器，则很可能任何普通的 api 服务（例如您尝试访问的服务）在其后端都有一些配置，您可以在某处设置以授权您的 origin。

你可以阅读更多关于 cors 行为here

Answer 2

您遇到了 CORS 问题，为了解决这个问题，您需要在后端启用 CORS。

Answer 3

理想的方法是允许在您的服务器上允许来自不同域的调用，但如果您无权访问后端和测试服务，则可以安装此 chrome 插件以绕过飞行前请求。 cors chrome extension