我们的应用程序支持 CORS 配置标头。 我已经在两个不同的主机上分别配置了 testApp。两种设置都彼此独立工作。 host1 上的应用程序配置了 CORS 标头 Access-Control-Allow-Origin 以指向 host2 上的应用程序。 当我访问 host2 的应用程序页面时,期望它显示 Access-Control-Allow-Origin 标头作为响应。但这是缺失的。
如何测试 CORS 标头以确认其正常工作或正确编码以支持跨域资源共享。
【问题讨论】:
标签: header cors cross-domain
如果您的应用程序返回标头:Access-Control-Allow-Origin,那么它应该可以工作。在我的特定用例中,我将其设置为“*”。
否则测试将显示错误,可从浏览器控制台查看。它会说:CORS 策略已阻止访问 ...
您可以使用浏览器测试 CORS 标头是否正常工作。 我使用了这个,希望这会有所帮助。您会在其中找到说明。 https://github.com/cactuz/cors-tester-from-browser
【讨论】:
Access-Control-Allow-Origin: *的用例。这实际上将禁用您的应用程序的身份验证,因为任何网站现在都可以劫持您用户的会话。
您可以从终端使用 cUrl 对其进行测试。
curl -v --request OPTIONS 'localhost:3000' --header 'Origin: http://some.origin.here'; --header '访问控制请求方法:GET'
【讨论】:
您可以利用浏览器调试器提供的fetch(在 Chrome 和 Firefox 上按 F12,然后转到控制台):
fetch('https://google.ca')
如果您收到 CORS 错误,则表示您使用 (Origin) 打开调试器的当前站点未包含在您从中获取的站点的 Access-Control-Allow-Origin 标头中。
【讨论】:
您可以使用任何其他客户端(如 POSTMAN Rest Client)对其进行测试,或者您可以从 浏览器控制台 -> 网络选项卡 -> 在 xhr 过滤器中检查它 - 检查特定请求的标头。您可以检查请求和响应。
【讨论】: