safari - Safari 中的跨源资源共享策略拒绝跨源重定向

转载作者：行者123 更新时间：2023-12-02 00:40:38

27

4

我们有一个重定向到另一台服务器的 API 端点。它是通过 XHR 调用的，似乎在大多数浏览器中都能正常工作，除了 Safari(特别是在 iOS 上)。

我在控制台中遇到的错误是:跨源重定向被跨源资源共享策略拒绝

我们在执行重定向的页面和其他服务器上都有 CORS。重定向页面设置:

Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: false

其他服务器有:

Access-Control-Allow-Origin: *

如何在 CORS 策略中允许重定向？

最佳答案

W3C 规范和其他权威来源直接禁止通配符 Access-Control-Allow-Origin 与 Access-Control-Allow-Credentials: true 一起使用。

Note: The string "*" cannot be used for a resource that supports credentials.

https://www.w3.org/TR/cors/#resource-requests

Important note: when responding to a credentialed request, server must specify a domain, and cannot use wild carding.

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS#Requests_with_credentials

If credentials mode is "include", then Access-Control-Allow-Origin cannot be *.

https://fetch.spec.whatwg.org/#cors-protocol-and-credentials

进一步步骤

由于您的问题缺乏细节，让我们做一些定义:

domain-a 是您的客户端代码的域
domain-b 是您向其发出请求的端点的域
domain-c是请求最终重定向到的域

首先，我认为您想要找到一个解决方法。只要您告诉所有端点都在您的控制之下，那么您可以:

从域-a向域-c发出直接请求(或者甚至发出条件请求，如果重定向取决于参数)
在后端公开另一个端点，将请求包装到domain-b

向 WebKit tracker 报告错误也很重要如果它确实违反了规范。为了更轻松地重现该案例，我制作了一个 CherryPy 应用程序，您可以将其附加到报告中。运行步骤:

将“127.0.0.1 域-a 域-b 域-c”添加到您的 /etc/hosts
将以下代码放入corsredirect.py

在终端中运行这些命令

 virtualenv -p python3 venv
 . venv/bin/activate
 pip install cherrypy
 python corsredirect.py

将浏览器指向 http://domain-a:8080然后按下按钮

这就是应用程序。

#!/usr/bin/env python3
'''
Add localhost aliases in /etc/hosts for "domain-a", "domain-b", "domain-c".

The flow is: [domain-a] --CORS-GET--> [domain-b] --redirect--> [domain-c].
Open as http://domain-a:8080/
'''


import cherrypy


def cors():
  cherrypy.response.headers['Access-Control-Allow-Origin'] = '*'

cherrypy.tools.cors = cherrypy._cptools.HandlerTool(cors)


class App:

  @cherrypy.expose
  def index(self):
    return '''<!DOCTYPE html>
      <html>
      <head>
      <meta content='text/html; charset=utf-8' http-equiv='content-type'>
      <title>CORS redirect test</title>
      </head>
      <body>
        <button>make request</button>
        <script type='text/javascript'>
          document.querySelector('button').onclick = function()
          {
            var xhr = new XMLHttpRequest();
            xhr.open('GET', 'http://domain-b:8080/redirect', true);
            xhr.onload = function()
            {
              var text = xhr.responseText;
              console.log('success', text);
            };
            xhr.onerror = function()
            {
              console.error('failure');
            };
            xhr.send();
          };
        </script>
      </body>
      </html>
    '''

  @cherrypy.expose
  @cherrypy.config(**{'tools.cors.on': True})
  def redirect(self):
    raise cherrypy.HTTPRedirect('http://domain-c:8080/endpoint')

  @cherrypy.expose
  @cherrypy.config(**{'tools.cors.on': True})
  @cherrypy.tools.json_out()
  def endpoint(self):
    return {'answer': 42}


if __name__ == '__main__':
  config = {
    'global' : {
      'server.socket_host' : '127.0.0.1',
      'server.socket_port' : 8080,
      'server.thread_pool' : 8
    }
  }
  cherrypy.quickstart(App(), '/', config)

关于safari - Safari 中的跨源资源共享策略拒绝跨源重定向，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/40711452/

27

4

0

文章推荐： Julia 相当于 R 的 Paste() 函数

文章推荐： Excel 崩溃，VBA 用户窗体无法保存

文章推荐： java - Android Facebook 登录弹出对话框

safari - Safari 和 Mobile Safari 是否会错误地渲染带有半径和填充的圆形边框？
Safari 和 Mobile Safari 在组合边框半径、填充和边框时似乎有问题。在 Chrome 和 Firefox 中运行良好。 CSS: img { width: 200px;
safari - Safari 开发工具中的断点自动启用
每次我在打开 Safari 开发工具的情况下加载页面(无论是哪个选项卡)时，都会触发一些断点，并且我会被重定向到“源代码”选项卡，并显示消息“调试器已暂停”。问题是我没有设置任何断点，至少是有意的，这
safari - Safari 中过渡期间的不透明度变化闪烁
我有一个复合 div(它有 translate3d)和一个 opacity过渡: #bad { background-color: red; -webkit-transition: o
safari - Safari 的阅读器功能如何工作？
我想为我正在制作的工具添加一个类似的功能。我对它在代码方面的工作方式很感兴趣。我希望能够获得一个 html 页面并排除除文章之外的所有内容。最佳答案 Readability 项目对 chrome 和
safari - Safari 中的跨源资源共享策略拒绝跨源重定向
我们有一个重定向到另一台服务器的 API 端点。它是通过 XHR 调用的，似乎在大多数浏览器中都能正常工作，除了 Safari(特别是在 iOS 上)。我在控制台中遇到的错误是:跨源重定向被跨源资源
safari - Safari 中的页面转换效果？
如何在 Safari 中为网页添加 IE 等页面转换效果？最佳答案你可以看看这个例子:http://sachiniscool.blogspot.com/2006/01/implementing-p
safari - 边界半径不适用于 safari
所以我用拇指和周围的白色边框制作了这个圆圈。一切都在每个浏览器中都能找到，除了 safari，它不会按应有的方式呈现白色边框。那我怎样才能让它工作呢？示例 http://jsfiddle.net/v
safari - safari 中导航的行高与其他浏览器不同
我找遍了这个问题的解决方案，但似乎没有任何效果，如果可以避免的话，我真的不想使用 hack。当我将 line-height 设置为垂直居中时，我的导航栏在任何地方都居中，但在 safari 中，它的
safari - 从输入中删除 Safari 联系人下拉列表
在输入字段中输入时，safari 会创建一个基于下拉列表的联系人。我不知道如何隐藏这个下拉菜单。我可以隐藏联系人按钮。我正在运行 Safari 版本 11.0.1 重现 fiddle : https
safari - 我需要一个苹果脚本来全屏打开 safari 并隐藏小牛上的工具栏
我需要一个苹果脚本来全屏打开 safari 并隐藏小牛上的工具栏。这听起来很容易，但事实并非如此! 我需要打开 safari，然后以全屏模式打开谷歌，然后隐藏工具栏。这将是以下示例的等效项，但对于
safari-extension - Safari 无法安装此扩展程序
嗨， friend 们，我开发了一个 safari 扩展并且也能够构建它。但是当我尝试安装它时，会出现以下错误: “Safari 无法安装此扩展程序。安装此扩展程序时出错” 我有一个有效的 Safa
safari - 从扩展代码本身读取 Safari 扩展版本
我想将使用的扩展版本报告给服务。有没有办法从扩展中读取扩展版本号？最佳答案您可以使用 displayVersion 访问该版本SafariExtension 的属性(property)类(cla
safari - 以编程方式更改 Safari 浏览器扩展的图标？
我有一个禁用模式的 Safari 浏览器扩展。我想做的是在用户进入禁用模式时以编程方式更改工具栏图标。是否有一个 API 可以让我实现这一点，如果有，它是什么？最佳答案您的扩展程序拥有的任何工具
safari - 如何关闭 Safari 的预取功能？
Safari 有一项“功能”，可以在您输入网址时预加载页面。现在对于大多数用户来说，这确实是一项功能，可以加快页面加载速度。但是对于 Web 开发人员来说，它可能会带来麻烦 - 特别是当它自动加载您
safari - 基本身份验证在 Safari 中不起作用
我们有一个正在开发中的 PHP Web 应用程序，它不应该被公众访问(但)，但我们不想实现自定义解决方案来防止这种情况发生，因此我们求助于 HTTP 基本身份验证，它通常工作正常但有是 iPhone
safari - 在 Safari 中查看本地存储中长值的内容
我正在尝试查看 Safari 本地存储中保存的单个值的全部内容(它是一个长 JSON 对象)。当我查看键/值对时，该值对于屏幕来说太长了，复制该行只会复制该值的可见部分。有没有办法看到整条线？最佳答
safari - 在 Safari 中禁用同源策略
出于开发目的，我需要在我的计算机上的 Safari(Windows 上)中禁用同源策略。在 Chrome 中，这可以通过使用标志 --disable-web-security 启动来完成。 Safa
safari - 如何使用 Safari 浏览器检查元素
我正在开发网站并创建应用程序。我想知道如何通过 safari 等网络浏览器检查元素。在普通的 Chrome、Firefox、Explorer 或任何其他浏览器中，我们将右键单击鼠标按钮或按功能键 F
safari - Safari Web 浏览器是开源项目吗？
我有兴趣针对 Safari 浏览器进行一些开发，但我不确定它是否是开源项目？我知道 webkit 是开源的，但这并不意味着浏览器是开源的。我已经给苹果发了电子邮件，但他们的回复不是很及时，所以我想知
safari - 为什么 Safari 无法连接到本地主机？
我有一个正确的/etc/hosts 文件，其中包含以下内容: 127.0.0.1 localhost 255.255.255.255 broadcasthost ::1 l

首页

博学

6Ren·AI

商城

safari - Safari 中的跨源资源共享策略拒绝跨源重定向

进一步步骤