对预飞行请求的响应未通过访问控制检查NodeJS/Heroku/Express

Response to preflight request doesn't pass access control check NodeJS/Heroku/Express

本文关键字:检查 访问控制 NodeJS Heroku Express 飞行 请求 响应      更新时间:2023-09-26

我在Heroku上使用Express应用程序。我尝试从另一个NodeJS应用程序向它发出RESTful请求。

下面是Heroku应用程序的一个片段,叫做app.js:

var express=        require("express");
app.get("/results",function(req,res){
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    res.header("Access-Control-Allow-Methods", "GET,PUT,POST,DELETE,OPTIONS");
});

这里是我在本地运行的一个应用程序的片段,local-app.js:

var request=        require("superagent");
var req=            request.get("http://url-to-app-js.com?query=1").set(
    "Access-Control-Allow-Origin", "http://url-to-app-js.com",
    "Access-Control-Allow-Methods", "GET,PUT,POST,DELETE,OPTIONS",
    "Access-Control-Allow-Headers", "Content-Type, Authorization, Content-Length, X-Requested-With"
);
req.end(function(err,res){
    // do things
});

当我运行local-app.js时,我在浏览器控制台中得到了这个错误:esponse to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'http://localhost:3000' is therefore not allowed access.

我知道我可以在关闭某些安全设置的情况下运行浏览器Chromium,但我需要能够在不关闭安全设置的情况下运行这个。

我做错了什么?我怎么修理它?

Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers响应头。它们根本不应该出现在请求中。

通过添加非标准标头,您可以使请求成为预发送请求而不是简单请求。(您可能正在做其他事情,使其成为预先发送的请求,但额外的头绝对没有帮助)。

预飞行请求发送一个OPTIONS请求,以便在发出您实际想要发出的请求(在本例中为GET)之前确定CORS是否允许它。

您只在接收到GET请求时设置CORS响应头。因为您没有用它们来响应OPTIONS请求,所以浏览器拒绝发出GET请求。

相关文章: