Access control allow origin js ошибка

Обновлено: 04.07.2024

Столкнулся с такой проблемой, Chrome выдает ошибку следующего содержания.

Вот запрос с помощью которого обращаюсь к серверу:

4,435 5 5 золотых знаков 16 16 серебряных знаков 34 34 бронзовых знака У вас получается кросс-доменный запрос, возможно вы пытаетесь сделать запрос на другой порт или на другое доменное имя.

Это не ошибка, это ограничение безопасности.

Происходит это из-за того что страница, с которой вы отправляете этот запрос загружена не с этого сервера(порта)

возможно вам достаточно разместить страницу с которой вы отправляете запрос на сервер куда вы отправляете запрос

В противном случае

Ваш веб сервер должен устанавливать заголовок access-control-allow-origin

для тестирования достаточно поставить туда символ * что разрешит кросс доменные запросы

The response to the CORS request is missing the required Access-Control-Allow-Origin header, which is used to determine whether or not the resource can be accessed by content operating within the current origin.

If the server is under your control, add the origin of the requesting site to the set of domains permitted access by adding it to the Access-Control-Allow-Origin header's value.

Warning: Using the wildcard to allow all sites to access a private API is a bad idea.

To allow any site to make CORS requests without using the * wildcard (for example, to enable credentials), your server must read the value of the request's Origin header and use that value to set Access-Control-Allow-Origin , and must also set a Vary: Origin header to indicate that some headers are being set dynamically depending on the origin.

В ответе на CORS-запрос отсутствует заголовок Access-Control-Allow-Origin , используемый для проверки, может ли ресурс быть доступен для контента на текущем домене.

Если у вас есть доступ к серверу, то добавьте домен запрашивающего сайта в список разрешённых доменов, добавив его в значение заголовка Access-Control-Allow-Origin .

Также вы можете разрешить доступ любому сайту, используя подстановку * . Используйте этот способ только для публичных API. В закрытых API * не должна использоваться, вместо этого должен быть установлен определённый домен или домены. При этом подстановка работает только для запросов с атрибутом crossorigin со значением anonymous .

Внимание: Использование * для доступа к закрытым API — плохая идея по очевидным причинам.

Чтобы разрешить любому сайту делать CORS-запросы без использования подстановки * (например, для включения авторизационных данных), ваш сервер должен считывать значение заголовка Origin из запроса и использовать это значение, чтобы задать Access-Control-Allow-Origin , а также выставить заголовок Vary: Origin , чтобы обозначить динамическую установку заголовка в зависимости от источника.

Заголовок ответа Access-Control-Allow-Origin показывает, может ли ответ сервера быть доступен коду, отправляющему запрос с данного источника origin.

Тип заголовка	Response header (en-US)
Forbidden header name	нет

Директивы

* Для запросов без учётных данных. Значение " * " может быть использован как шаблон; значение указывает браузеру разрешить запросы из любых источников. Попытка использовать шаблон с учётными данными приведёт к ошибке. <origin> Указывает источник. Может быть указан только один источник. null Определяет в качестве источника "null". Замечание: Не используйте null : "Может показаться, что вернуть Access-Control-Allow-Origin: "null" безопасно, но сериализация Источника любого ресурса, использующего неиерархическую схему (такие как data: или file: ), и изолированные документы, определяются как "null". Многие пользовательские агенты предоставляют таким документам доступ к ответу с заголовком Access-Control-Allow-Origin: "null" , и любой источник может создать враждебный документ с Источником "null". Поэтому использования заголовка ACAO со значением "null" следует избегать."

Синтаксис

Примеры

Ответ, который указывает браузеру разрешить доступ к ресурсу из любого источника:

Чтобы ограничить Access-Control-Allow-Origin разрешённым набором значений, необходимо реализовать логику на стороне сервера для проверки значения заголовка Origin запроса, сравнить его с разрешённым списком источников, а затем, если значение Origin присутствует в списке, задать значение Access-Control-Allow-Origin , равное значению Origin .

CORS и кеширование

Если сервер послал ответ со значением Access-Control-Allow-Origin , которое содержит явное указание источника (а не шаблонное значение " * "), тогда ответ также должен включать в себя заголовок Vary со значением Origin — чтобы указать браузеру, что ответы с сервера могут отличаться в зависимости от заголовка запроса Origin .

CORS configurations for every language/framework under the sun. Instead find your relevant language/framework's question.
3rd party services that allow a request to circumvent CORS
Command line options for turning off CORS for various browsers

I am trying to do authorization using JavaScript by connecting to the RESTful API built-in Flask. However, when I make the request, I get the following error:

I know that the API or remote resource must set the header, but why did it work when I made the request via the Chrome extension Postman?

This is the request code:

908k 168 168 gold badges 1668 1668 silver badges 1683 1683 bronze badges 29.7k 8 8 gold badges 25 25 silver badges 37 37 bronze badges Are you doing the request from localhost or direcly executing HTML? is the domain of your executed page and requested domain name same or different?

6 Answers 6

19.7k 53 53 gold badges 67 67 silver badges 88 88 bronze badges 18.7k 2 2 gold badges 21 21 silver badges 45 45 bronze badges The browser is not blocking the request. The only browsers that outright block cross-origin ajax requests is IE7 or older. All browsers, other than IE7 and older, implement the CORS spec (IE8 & IE9 partially). All you need to do is opt-in to CORS requests on your API server by returning the proper headers based on the request. You should read up on CORS concepts at mzl.la/VOFrSz. Postman sends requests via XHR as well. If you are not seeing the same problem when using postman, this means that you are unknowingly not sending the same request via postman. @MD.SahibBinMahboob Postman is NOT sending a request "from your java/python" code. It is sending the request directly from the browser. XHR in Chrome extensions does work a bit differently, especially when cross-origin requests are involved.

WARNING: Using Access-Control-Allow-Origin: * can make your API/website vulnerable to cross-site request forgery (CSRF) attacks. Make certain you understand the risks before using this code.

It's very simple to solve if you are using PHP. Just add the following script in the beginning of your PHP page which handles the request:

If you are using Node-red you have to allow CORS in the node-red/settings.js file by un-commenting the following lines:

If you are using Flask same as the question; you have first to install flask-cors

Then include the Flask cors in your application.

A simple application will look like:

For more details, you can check the Flask documentation.

29.2k 26 26 gold badges 82 82 silver badges 94 94 bronze badges

12.6k 4 4 gold badges 36 36 silver badges 47 47 bronze badges

Both are different. Postman calls "POST" properly, but when we call it, it will be "OPTIONS".

Please add the following code in your web.config file under <system.webServer> tag. This will work:

Please make sure you are not doing any mistake in the Ajax call

jQuery

Note: If you are looking for downloading content from a third-party website then this will not help you. You can try the following code, but not JavaScript.

The reason why you see different results is that Postman:

This is the standard way how Postman sends requests. But a browser sends requests differently when your site and API have different domains, and then CORS occurs and the browser automatically:

(The header Referer has the same value as Origin ). And now in Chrome's Console & Networks tab you will see:

When you have Host != Origin this is CORS, and when the server detects such a request, it usually blocks it by default.

Origin=null is set when you open HTML content from a local directory, and it sends a request. The same situation is when you send a request inside an <iframe> , like in the below snippet (but here the Host header is not set at all) - in general, everywhere the HTML specification says opaque origin, you can translate that to Origin=null . More information about this you can find here.

If you do not use a simple CORS request, usually the browser automatically also sends an OPTIONS request before sending the main request - more information is here. The snippet below shows it:

You can change the configuration of your server to allow CORS requests.

Here is an example configuration which turns on CORS on nginx (nginx.conf file) - be very careful with setting always/"$http_origin" for nginx and "*" for Apache - this will unblock CORS from any domain.

Here is an example configuration which turns on CORS on Apache (.htaccess file)

Читайте также: