CORS: Kimlik bilgileri bayrağı doğru olduğunda Access-Control-Allow-Origin'de joker karakter kullanılamaz

İçeren bir kurulumum var

Ön uç sunucusu (Node.js, etki alanı: localhost: 3000) <---> Arka uç (Django, Ajax, etki alanı: localhost: 8000)

Tarayıcı <- webapp <- Node.js (Uygulamayı sun)

Tarayıcı (webapp) -> Ajax -> Django (ajax POST istekleri sun)

Şimdi, burada benim sorun webapp arka uç sunucusuna Ajax çağrıları yapmak için kullandığı CORS kurulum ile. Kromda alıyorum

Kimlik bilgileri bayrağı doğru olduğunda Access-Control-Allow-Origin'de joker karakter kullanılamaz.

firefox üzerinde de çalışmaz.

Node.js kurulumum:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

Ve Django'da bununla birlikte bu katman yazılımını kullanıyorum

Webapp şu şekilde istekte bulunur:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

Dolayısıyla, web uygulamasının gönderdiği istek başlıkları şöyle görünür:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

Ve işte yanıt başlığı:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

Nerede yanlış gidiyorum ?!

Düzenleme 1: Kullanıyorum chrome --disable-web-security, ancak şimdi işlerin gerçekten çalışmasını istiyorum.

Düzenleme 2: Yanıt:

Yani, benim için çözüm django-cors-headersyapılandırma:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

Bu güvenliğin bir parçası, bunu yapamazsınız. Kimlik bilgilerine izin vermek istiyorsanız Access-Control-Allow-Originkullanmamalısınız *. Tam protokol + etki alanı + bağlantı noktasını belirtmeniz gerekir. Referans için şu sorulara bakın:

1. Access-Control-Allow-Origin joker karakter alt alanları, bağlantı noktaları ve protokolleri
2. Kimlik Bilgileri ile Çapraz Kaynak Kaynağı Paylaşımı

Ayrıca *çok izin vericidir ve kimlik bilgilerinin kullanımını bozabilir. Böylece http://localhost:3000veya http://localhost:8000başlangıç ​​izni başlığı olarak ayarlayın .

CORS ara katman yazılımı kullanıyorsanız ve withCredentialboole true değerini göndermek istiyorsanız, CORS'yi şu şekilde yapılandırabilirsiniz:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));

Kullanıyorsanız express, Cware'e ara katman yazılımınızı yazmak yerine izin vermek için cors paketini kullanabilirsiniz ;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

dene:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));

Tüm kökenlere izin vermek ve kimlik bilgilerini doğru tutmak istiyorsanız, bu benim için çalıştı:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));

(Düzenle) Önceden önerilen eklenti artık kullanılamıyor, diğerini deneyebilirsiniz

Chrome'da geliştirme amacıyla, bu eklentiyi yüklemek o hatadan kurtulacaktır:

Access to XMLHttpRequest at 'http://192.168.1.42:8080/sockjs-node/info?t=1546163388687' 
from origin 'http://localhost:8080' has been blocked by CORS policy: The value of the 
'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 
when the request's credentials mode is 'include'. The credentials mode of requests 
initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

Intercepted URLsYükledikten sonra AddOn'un ( CORS , yeşil veya kırmızı) simgesine tıklayarak ve uygun metin kutusunu doldurarak url deseninizi eklediğinizden emin olun . Buraya eklenecek örnek bir URL modeli şöyledir http://localhost:8080:*://*

Bu benim için geliştirmede işe yarıyor, ancak üretimde henüz işin bitirilmesinin farklı bir yolu olduğunu, ancak muhtemelen en iyisinin olmadığını tavsiye edemem. Neyse burada:

Kökeni istekten alabilir, ardından yanıt başlığında kullanabilirsiniz. İşte böyle ifade:

app.use(function(req, res, next) {
  res.header('Access-Control-Allow-Origin', req.header('origin') );
  next();
});

Python kurulumunuzla neye benzeyeceğini bilmiyorum ama çevirmesi kolay olmalı.