Pochodzenie nie jest dozwolone przez Access-Control-Allow-Origin

337

Robię Ajax.requestna zdalnym serwerze PHP w aplikacji Sencha Touch 2 ( zawartej w PhoneGap ).

Odpowiedź serwera jest następująca:

XMLHttpRequest nie może załadować http://nqatalog.negroesquisso.pt/login.php . Pochodzenie http://localhost:8888nie jest dozwolone przez Access-Control-Allow-Origin.

Jak mogę rozwiązać ten problem?

— Ricardo
źródło

19

podczas korzystania z jQuery, ustawienie dataType: 'jsonp',robi

— załatwienie

11

tak przy okazji, to nie jest odpowiedź serwera. Mówiąc ściślej, ten błąd jest wydawany po stronie klienta.

— matteo

2

Sztuczka jsonp prawdopodobnie już nie działa, fyi: stackoverflow.com/questions/12216208/...

— Drawww

7

Uwaga, ponieważ właśnie zmarnowałem pół dnia na ściganie tego błędu - jeśli skrypt po stronie serwera zawiedzie z wewnętrznym błędem serwera, przeglądarka może zinterpretować go tak, jakby żądanie nie było dozwolone z powodu Access-Control-Allow-Origini zgłosić to jako błąd.

— troelskn

1

@troelskn Właśnie uratowałeś mi życie. Szukałem błędu CORS od 3 dni i był to po prostu mały problem z konfiguracją wiosenną, powodujący 500, który rozwiązałem w 5 minut po przeczytaniu twojego komentarza i faktycznie go szukałem. Dziękuję Ci!

— Alexis Dufrenoy

378

Niedawno napisałem artykuł na ten temat, Cross Domain AJAX .

Najłatwiejszym sposobem poradzenia sobie z tym, jeśli masz kontrolę nad serwerem odpowiadającym, jest dodanie nagłówka odpowiedzi dla:

Access-Control-Allow-Origin: *

Umożliwi to Ajax między domenami . W PHP będziesz chciał zmodyfikować odpowiedź w następujący sposób:

<?php header('Access-Control-Allow-Origin: *'); ?>

Możesz po prostu umieścić to Header set Access-Control-Allow-Origin *ustawienie w Apache konfiguracji lub pliku htaccess.

Należy zauważyć, że to skutecznie wyłącza ochronę CORS, co bardzo prawdopodobne naraża użytkowników na atak . Jeśli nie wiesz, że konkretnie potrzebujesz użyć symbolu wieloznacznego, nie powinieneś go używać, a zamiast tego powinieneś dodać białą listę do swojej konkretnej domeny:

<?php header('Access-Control-Allow-Origin: http://example.com') ?>

— Matt Mombrea
źródło

4

Skontaktuję się z dostawcą mojego serwera. Dzięki

— Ricardo,

8

Czy są z tym jakieś obawy związane z bezpieczeństwem? Ta odpowiedź mówi na przykład: „JavaScript jest ograniczony przez„ zasady tego samego pochodzenia ”ze względów bezpieczeństwa, na przykład złośliwy skrypt nie może skontaktować się ze zdalnym serwerem i wysłać poufnych danych z Twojej witryny”.

— JohnK

4

Wspaniale, właśnie wstawiłem to do pliku serwera node.js: response.writeHead (200, {„Content-Type”: contentType, „Access-Control-Allow-Origin”: „*”}); I zadziałało. Dzięki!

— vbullinger

25

JohnK, tak, symbol wieloznaczny pozwoli dowolnej domenie na wysyłanie żądań do twojego hosta. Zalecam zastąpienie gwiazdki określoną domeną, na której będą uruchamiane skrypty.

— Nick

7

Interesujące jest to, że uważasz, że symbol wieloznaczny nie powinien nawet być sugerowany @jfrej. Wszystko zależy od twojego celu. Na przykład użyliśmy symbolu wieloznacznego (i opublikowaliśmy tę odpowiedź), ponieważ budowaliśmy wbudowany widget dla dowolnej witryny.

— Matt Mombrea

63

Jeśli nie masz kontroli nad serwerem, możesz po prostu dodać ten argument do programu uruchamiającego Chrome:--disable-web-security .

Pamiętaj, że nie użyłbym tego do normalnego „surfowania po Internecie”. W celach informacyjnych zobacz ten post: Wyłącz tę samą zasadę pochodzenia w Chrome .

Jeśli użyjesz Phonegap do zbudowania aplikacji i załadowania jej na urządzenie, nie będzie to problemem.

— Travis Webb
źródło

Dzięki. Ale moja aplikacja działa na urządzeniach mobilnych, nie mogę przekazywać argumentów do opakowania WebView.

— Ricardo

Czy najpierw nie testujesz aplikacji w przeglądarce? Jak debugujesz?

— Travis Webb,

Tak, debuguję w przeglądarce Chrome, ale aplikacja nie działa na Chrome. Będzie to na widoku sieci telefonicznej, którego nie mogę kontrolować.

— Ricardo

4

przeczytaj odpowiedź: możesz po prostu dodać ten argument do programu uruchamiającego Chrome . W Chrome nie ma takiego ustawienia

— Travis Webb

2

Oczywiście to niepewne. OP prosi o obejście środków bezpieczeństwa.

— Travis Webb,

42

Jeśli używasz Apache, po prostu dodaj:

<ifModule mod_headers.c>
    Header set Access-Control-Allow-Origin: *
</ifModule>

w twojej konfiguracji. Spowoduje to, że wszystkie odpowiedzi z twojego serwera będą dostępne z dowolnej innej witryny w Internecie. Jeśli zamierzasz zezwolić, aby usługi na Twoim hoście były używane tylko przez określony serwer, możesz zastąpić *adresem URL serwera źródłowego:

Header set Access-Control-Allow-Origin: http://my.origin.host

— Reza S.
źródło

3

I nie zapomnij załadować modułu: nagłówki a2enmod

— Walery Strauch,

jak załadować moduł: nagłówki a2enmod?

— Ayesha,

18

Jeśli masz aplikację ASP.NET / ASP.NET MVC , możesz dołączyć ten nagłówek za pomocą pliku Web.config:

<system.webServer>
  ...

    <httpProtocol>
        <customHeaders>
            <!-- Enable Cross Domain AJAX calls -->
            <remove name="Access-Control-Allow-Origin" />
            <add name="Access-Control-Allow-Origin" value="*" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

— C. Augusto Proiete
źródło

2

.NET MVC Ludzie, PATRZ tutaj! Zamierzam napisać rozwiązanie i wskazać tę odpowiedź na moim blogu, aby ludzie mogli łatwiej ją znaleźć. Nic gorszego niż próba pokonania przeszkody .NET / MVC i znalezienia niczego poza rozwiązaniami PHP / jQuery. Dzięki @ Caio-Proiete

— ottoflux

1

Dlaczego to nie działa dla mnie? Używam Chrome i próbuję uzyskać dostęp do strony finansów Yahoo z mojego lokalnego hosta.

— newman

1

dzięki, że zadziałało dla mnie. Dodałem w projekcie kodu po stronie serwera (web.config).

— ethem

15

To było pierwsze pytanie / odpowiedź, które pojawiło się dla mnie, gdy próbowałem rozwiązać ten sam problem za pomocą ASP.NET MVC jako źródła moich danych. Zdaję sobie sprawę, że to nie rozwiązuje PHP pytania , ale jest wystarczająco powiązane, aby być cennym.

Używam ASP.NET MVC. Blogu z Gregiem Brant pracował dla mnie. Ostatecznie tworzysz atrybut,[HttpHeaderAttribute("Access-Control-Allow-Origin", "*")] który możesz dodawać do akcji kontrolera.

Na przykład:

public class HttpHeaderAttribute : ActionFilterAttribute
{
    public string Name { get; set; }
    public string Value { get; set; }
    public HttpHeaderAttribute(string name, string value)
    {
        Name = name;
        Value = value;
    }

    public override void OnResultExecuted(ResultExecutedContext filterContext)
    {
        filterContext.HttpContext.Response.AppendHeader(Name, Value);
        base.OnResultExecuted(filterContext);
    }
}

A następnie używając go z:

[HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]
public ActionResult MyVeryAvailableAction(string id)
{
    return Json( "Some public result" );
}

— badMonkey
źródło

1

WebApi 2 ma to teraz wbudowane. asp.net/web-api/overview/security/…

— Matt

10

Ponieważ Matt Mombrea jest poprawny po stronie serwera, możesz napotkać inny problem, którym jest odrzucenie białej listy.

Musisz skonfigurować phonegap.plist. (Używam starej wersji phonegap)

W przypadku Kordowa mogą wystąpić pewne zmiany w nazwie i katalogu. Ale kroki powinny być w większości takie same.

Najpierw wybierz Pliki pomocnicze> PhoneGap.plist

wprowadź opis zdjęcia tutaj

następnie w „ExternalHosts”

Dodaj wpis o wartości „ http://nqatalog.negroesquisso.pt ” Używam * tylko do celów debugowania.

wprowadź opis zdjęcia tutaj

— steve0hh
źródło

8

Może to być przydatne dla każdego, kto potrzebuje wyjątku zarówno dla wersji strony odsyłającej „www”, jak i „innej niż www”:

 $referrer = $_SERVER['HTTP_REFERER'];
 $parts = parse_url($referrer);
 $domain = $parts['host'];

 if($domain == 'google.com')
 {
         header('Access-Control-Allow-Origin: http://google.com');
 }
 else if($domain == 'www.google.com')
 {
         header('Access-Control-Allow-Origin: http://www.google.com');
 }

— lewsid
źródło

Wskazał mi właściwy kierunek w rozwiązaniu błędu ACAO za pomocą lazuru. Podczas gdy dodałem dozwoloną nazwę hosta googledrive. Używany adres URL musi być googledrive NIE googledrive

— Kildareflare

7

Dam ci proste rozwiązanie tego problemu. W moim przypadku nie mam dostępu do serwera. W takim przypadku możesz zmienić zasady bezpieczeństwa w przeglądarce Google Chrome, aby zezwolić na Access-Control-Allow-Origin. To jest bardzo proste:

Utwórz skrót przeglądarki Chrome
Kliknij prawym przyciskiem myszy ikonę skrótu -> Właściwości -> Skrót -> Cel

Proste wklejanie "C:\Program Files\Google\Chrome\Application\chrome.exe" --allow-file-access-from-files --disable-web-security.

Lokalizacja może się różnić. Teraz otwórz Chrome, klikając ten skrót.

— Dibish
źródło

7

Wpadłem na to kilka razy podczas pracy z różnymi interfejsami API. Często szybką poprawką jest dodanie „& callback =?” na końcu ciągu. Czasami znak ampersand musi być kodem znakowym, a czasem „?”: „? Callback =?” (patrz Wykorzystanie interfejsu API Forecast.io z jQuery )

— Francis Baptiste
źródło

6

Jeśli piszesz Chrome Extension i dostać ten błąd, a następnie upewnij się, że zostały dodane bazowy URL API do swojej manifest.json„s uprawnienia blok , na przykład:

"permissions": [
    "https://itunes.apple.com/"
]

— itzg
źródło

6

Wynika to z polityki tego samego pochodzenia . Zobacz więcej na Mozilla Developer Network lub Wikipedia .

Zasadniczo w twoim przykładzie musisz załadować http://nqatalog.negroesquisso.pt/login.phpstronę tylko z nqatalog.negroesquisso.pt, a nie localhost.

— antyrat
źródło

1

Ale muszę załadować usługę internetową z urządzenia mobilnego, czy ominąłbym to?

— Ricardo

Musisz wprowadzić zmiany po stronie serwera lub użyć JSONP en.wikipedia.org/wiki/JSONP

— antyrat

6

jeśli korzystasz z Apache, po prostu dodaj plik .htaccess do katalogu z tą zawartością:

Header set Access-Control-Allow-Origin: *

Header set Access-Control-Allow-Headers: content-type

Header set Access-Control-Allow-Methods: *

— Vero O
źródło

5

W Ruby on Rails możesz zrobić w kontrolerze:

headers['Access-Control-Allow-Origin'] = '*'

— fuzzyalej
źródło

w jakim kontrolerze umieścisz to, jeśli jest to wywołanie ajax? Czy mogę zobaczyć więcej kontekstu kodu?

— rigdonmr

5

Możesz sprawić, aby działał bez modyfikowania serwera, tworząc broswer zawierający nagłówek Access-Control-Allow-Origin: * w odpowiedziach OPCJI HTTP.

W Chrome użyj tego rozszerzenia . Jeśli korzystasz z Mozilli, sprawdź tę odpowiedź .

— forzagreen
źródło

5

Jeśli otrzymujesz to w Angular.js, upewnij się, że nie masz numeru portu:

var Project = $resource(
    'http://localhost\\:5648/api/...', {'a':'b'}, {
        update: { method: 'PUT' }
    }
);

Zobacz tutaj, aby uzyskać więcej informacji na ten temat.

— Marius
źródło

4

Mamy również ten sam problem z aplikacją phonegap testowaną w chromie. Jedna maszyna z systemem Windows, której używamy codziennie poniżej pliku wsadowego przed otwarciem Chrome. Pamiętaj, że przed uruchomieniem tego musisz wyczyścić wszystkie wystąpienia chrome z menedżera zadań lub możesz wybrać chrome, aby nie działał w tle.

SERIA: (użyj cmd)

cd D:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-web-security

— abksharma
źródło

1

W Ruby Sinatra

response['Access-Control-Allow-Origin'] = '*'

dla wszystkich lub

response['Access-Control-Allow-Origin'] = 'http://yourdomain.name'

— Michaił Czupryński
źródło

0

Po otrzymaniu prośby możesz

var origin = (req.headers.origin || "*");

niż kiedy musisz odpowiedzieć, idź z czymś takim:

res.writeHead(
    206,
    {
        'Access-Control-Allow-Credentials': true,
        'Access-Control-Allow-Origin': origin,
    }
);

— Alessandro Annini
źródło