javascript - CORS 预检请求的奇怪问题在 IE 11 上失败-6ren

javascript - CORS 预检请求的奇怪问题在 IE 11 上失败

转载作者：可可西里更新时间：2023-11-01 16:42:28

25

4

问题是 POST 查询在 IE11 上失败，在所有其他浏览器中它似乎工作正常。

让我们逐步描述问题:

从应用程序到 REST API 的 XHR 请求。
Preflight OPTIONS 请求(请求参数如下)

Accept:                         */*
Origin:                         https://app.example.com
Access-Control-Request-Method:  POST
Access-Control-Request-Headers  content-type, accept
:                               
Accept-Encoding:                gzip, deflate
User-Agent:                     Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
Host:                           api.example.com
Content-Length:                 0
Connection:                     Keep-Alive
Cache-Control:                  no-cache

预检请求响应参数为:

X-Powered-By:                   Sugar
Access-Control-Allow-Origin:    https://app.example.com
Vary:                           Origin
Access-Control-Allow-Credentia  true
ls:                             
Access-Control-Allow-Methods:   GET,POST,DELETE,OPTIONS
Access-Control-Allow-Headers:   X-Requested-With,X-HTTP-Method-Override,Content-Type,Accept
set-cookie:                     sugar.sid=s%Pb9OoTTPUkVw%2F2vUPoFMNG
                                LMXACSkQevo; Path=/; Expires=Thu, 15 Jan 2015 18:27:07 GMT; HttpOnly; Secure
Date:                           Mon, 12 Jan 2015 18:27:07 GMT
Connection:                     close

preflight请求参数后的真实HTTP请求:

Accept:           application/json
Content-Type:     application/json
Referer:          https://app.example.com/
Accept-Language:  en-US
Origin:           https://app.example.com
Accept-Encoding:  gzip, deflate
User-Agent:       Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
Host:             api.example.com
Content-Length:   9
Connection:       Keep-Alive
Cache-Control:    no-cache
Cookie:           sugar.sid=s%3A-%2FGF1YoFmRfmBsxK4vLBoGjY5NT0QoYvf5s;

最后的响应参数:

Content-Type:    application/json; charset=utf-8
Content-Length:  72
Vary:            Accept-Encoding
Date:            Mon, 12 Jan 2015 18:27:07 GMT
Connection:      close

基本上响应以 IE 错误结束:来源:https://app.example.com在 Access-Control-Allow-Origin header 中找不到。第一个请求是否还需要 Access-**-Origin header ，它似乎丢失了。

也按照CORS流程图调试问题，但我没发现http://www.html5rocks.com/static/images/cors_server_flowchart.png .

我正在使用带有 node-cors 模块 + 修改选项的 Node.js Express 服务器。

最佳答案

我在我的网站上使用 Fiddler 调试这个问题并收到这条消息:

HTTP/1.1 400 Bad Request
Cache-Control: no-cache
Pragma: no-cache
Content-Type: application/json; charset=utf-8
Expires: -1
Server: Microsoft-IIS/8.5
X-AspNet-Version: 4.0.30319
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Date: Mon, 12 Sep 2016 19:40:20 GMT
Content-Length: 103

{"Message":"The collection of headers 'accept,if-modified-since,cache-control,pragma' is not allowed."}

CORS the collection of headers accept,if-modified-since,cache-control,pragma

所以我刚刚将缺少的 CORS header 列表添加到我的 web.api 中。

我希望这对某人有帮助。

关于javascript - CORS 预检请求的奇怪问题在 IE 11 上失败，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/27908661/

25

4

0

文章推荐： c++ - 声明 constexpr 函数或方法

文章推荐： hadoop - 过滤后的计数值 - Apache PIG

文章推荐： php - 为什么 http_parse_headers 在我的 cli 脚本中未定义？

cors - 如何检查域是否启用了 CORS
我尝试访问此 API click here for more info POST https://api.line.me/v2/oauth/accessToken 但总是得到错误: XMLHttpRe
cors - CORS 如何保护应用程序？
我在掌握 CORS 概念时遇到问题... 我认为同源策略保护应用程序不会对“不受信任的域”进行 ajax 调用。所以， mydomain.com 向发出 ajax 调用somedomain.com
cors - CORS 预检响应如何实际缓存在浏览器中？
一个技术性很强的问题，可能只有了解浏览器内部结构的人才能回答...... 浏览器缓存 CORS 预检响应的准确程度如何(假设在对 OPTIONS 预检请求的响应中返回了 Access-Control-
cors - CORS 试图解决的问题是什么？
我一直在阅读 CORS以及它是如何工作的，但我发现很多事情令人困惑。例如，有很多关于事情的细节，比如 User Joe is using browser BrowserX to get data fr
cors - OWASP CORS 建议中的矛盾
在 OWASP site 上看到这个矛盾，我感到很困惑。 CORS 备忘单: 使用 Access-Control-Allow-Credentials: true 响应 header 时要特别小心。将允
cors - 修复 cors 飞行前未连接
我们无法在飞行前恢复使用 cors:任何帮助都非常感谢 ==========错误========================== About to connect() to localhost p
cors - 为什么字体文件必须遵守 CORS 规则而图像不需要？
跨域请求字体文件时，您必须确保允许请求域使用 CORS header 访问字体文件: 访问控制允许来源访问控制允许凭据然而，这在请求图像时不是必需的，无论是对于 img元素或 background
cors - 对无效 CORS 请求的预期响应是什么？
CORS 规范没有说明服务器应如何响应无效的 CORS 请求。例如，如果请求 Origin 无效，则 CORS spec states :“终止这组步骤。请求超出了本规范的范围。”其他错误情况也有类似
cors - 同源策略和 CORS - 有什么意义？
我在理解同源策略和“解决”它的不同方法时遇到了一些麻烦。很明显，同源策略是作为一种安全措施而存在的，因此来自服务器/域的一个脚本无法访问来自另一个服务器/域的数据。也很明显，有时能够打破此规则很有
cors - API网关云信息 CORS
我正在尝试使用 cloudformation 在 API Gateway 中部署 API。这些方法需要启用 CORS，我遵循此处的模板 Enable CORS for API Gateway in C
cors - 如何将 CORS 预检缓存应用于整个域
我正在构建一个使用 CORS 的 REST 应用程序。每个 REST 调用都是不同的，我发现获取预检 OPTIONS 调用会产生很大的开销。有没有办法缓存并应用预检选项结果，以便对同一域的任何后续调用
cors - MVC6 Cors - 拦截预检
我正在将我的 WebApi 升级到 MVC6。在 WebApi 中，我可以拦截每个 HTTP 请求，如果是预检，我可以用浏览器可以接受的 header 进行响应。我正在尝试找出如何在 MVC6 W
cors - 如何处理无效的 CORS 预检请求？
假设一个 CORS 预检请求进来了，但它为一个或多个 Access-Control-Request-* 指定了一个不受支持的值。标题。服务器应该如何将其传达回浏览器？一些例子: 浏览器发送带有 Ac
cors - 在 GraphDB 上启用 CORS
问题中的一切。附加信息: 使用 Win 10，GraphDB 免费，9.1.1 • RDF4J 3.0.1 • Connectors 12.0.2 我在控制台 => 设置中添加了 graphdb.w
cors - 如何为 SonarQube 服务启用 CORS
我正在尝试通过 jQuery 调用 Sonar 网络服务之一。由于调用是跨域进行的，因此调用在 Chrome 上失败并出现以下错误: 请求的资源上不存在“Access-Control-Allow-Or
cors - 在 NestJs 中启用 Cors
我想使用 NestJs api，但我在每个 fetch 中都收到相同的错误消息: Access to fetch at 'http://localhost:3000/articles' from or
cors - Svelte API 代理 cors
我不确定这是否属于这里，但我在开发我的 svelte 应用程序时遇到了问题。在开发过程中，它目前在独立服务器上运行(遵循使用 rollup 和 sirv 的指南)并针对不同端口上的后端 API。稍
cors - 正确的 CORS 设置是否会阻止 XSRF？
如果在服务器上正确设置 CORS 以仅允许某些来源访问服务器，这是否足以防止 XSRF 攻击？最佳答案更具体地说，很容易错误地认为如果 evil.com 由于 CORS 无法向 good.com
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？
cors - Istio ingress - 启用 cors
我在 Istio 入口上启用 CORS 时遇到问题。正如 Istio Ingress 文档所述，“ingresskubernetes.io”注释将被忽略。是否可以在 Istio 入口上启用 CORS？

首页

博学

6Ren·AI

商城

javascript - CORS 预检请求的奇怪问题在 IE 11 上失败