Был заблокирован политикой CORS: Ответ на предполетный запрос не проходит проверку контроля доступа

Я создал сервер путешествий. Он работает нормально, и мы можем сделать POST запрос от Insomnia, но когда мы делаем POST запрос по axios на нашем интерфейсе, он отправляет ошибку:

has been blocked by CORS policy: Response to preflight request doesnt pass access control check: It does not have HTTP ok status.

Наш запрос на axios:

let config = {
headers: {
  "Content-Type": "application/json",
  'Access-Control-Allow-Origin': '*',
  }
}

let data = {
  "id": 4
 }

 axios.post('http://196.121.147.69:9777/twirp/route.FRoute/GetLists', data, config)
   .then((res) => {
      console.log(res)
     })
    .catch((err) => {
      console.log(err)
   });
} 

Мой файл go:

func setupResponse(w *http.ResponseWriter, req *http.Request) {
    (*w).Header().Set("Access-Control-Allow-Origin", "*")
    (*w).Header().Set("Access-Control-Allow-Methods", "POST,GET,OPTIONS, PUT, DELETE")

    (*w).Header().Set("Access-Control-Allow-Headers", "Accept, Content-Type, Content-Length, Accept-Encoding, X-CSRF-Token, Authorization")
}


func WithUserAgent(base http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {

    ctx := r.Context()
    ua := r.Header.Get("Jwt")
    ctx = context.WithValue(ctx, "jwt", ua)

    r = r.WithContext(ctx)

    setupResponse(&w, r)
     base.ServeHTTP(w, r)
  })
}

const (
    host     = "localhost"
    port     = 5432
    user     = "postgres"
    password = "postgres"
    dbname   = "postgres"
)

func main() {

    psqlInfo := fmt.Sprintf("host=%s port=%d user=%s "+
           "password=%s dbname=%s sslmode=disable",
               host, port, user, password, dbname)

    server := &s.Server{psqlInfo}

    twirpHandler := p.NewFinanceServiceServer(server, nil)

    wrap := WithUserAgent(twirpHandler)
      log.Fatalln(http.ListenAndServe(":9707", wrap))
}

Как я уже говорил в Insomnia, он прекрасно работает, но когда мы делаем POST запрос axios, в консоли браузера появляется следующее:

был заблокирован политикой CORS: Ответ на предпечатный запрос не прошел проверку контроля доступа: не имеет статуса HTTP ok.

Ответ 1

Я считаю, что это самый простой пример:

header := w.Header()
header.Add("Access-Control-Allow-Origin", "*")
header.Add("Access-Control-Allow-Methods", "DELETE, POST, GET, OPTIONS")
header.Add("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With")

Вы также можете добавить заголовок для Access-Control-Max-Age и, конечно, вы можете разрешить любые заголовки и методы, которые вы пожелаете.

Наконец, вы хотите ответить на первоначальный запрос:

if r.Method == "OPTIONS" {
    w.WriteHeader(http.StatusOK)
    return
}

Изменить (июнь 2019): теперь мы используем гориллу для этого. Их вещи поддерживаются более активно, и они занимаются этим очень долго. Оставив ссылку на старую, на всякий случай.

Старая рекомендация по промежуточному программному обеспечению ниже: Конечно, для этого, вероятно, будет проще использовать промежуточное программное обеспечение. Я не думаю, что использовал это, но этот, кажется, очень рекомендуется.

Ответ 2

Включите перекрестные запросы в ASP.NET Web API, нажмите для получения дополнительной информации

Включите CORS в приложении WebService. Сначала добавьте пакет CORS NuGet. В Visual Studio в меню Сервис выберите Диспетчер пакетов NuGet, затем выберите Консоль диспетчера пакетов. В окне консоли диспетчера пакетов введите следующую команду:

Install-Package Microsoft.AspNet.WebApi.Cors

Эта команда устанавливает последний пакет и обновляет все зависимости, включая основные библиотеки Web API. Используйте флаг -Version для указания конкретной версии. Для пакета CORS требуется Web API 2.0 или более поздней версии.

Откройте файл App_Start/WebApiConfig.cs. Добавьте следующий код в метод WebApiConfig.Register:

using System.Web.Http;
namespace WebService
{
    public static class WebApiConfig
    {
        public static void Register(HttpConfiguration config)
        {
            // New code
            config.EnableCors();

            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
        }
    }
}

Затем добавьте атрибут [EnableCors] в ваши методы контроллера/контроллера

using System.Net.Http;
using System.Web.Http;
using System.Web.Http.Cors;

namespace WebService.Controllers
{
    [EnableCors(origins: "http://mywebclient.azurewebsites.net", headers: "*", methods: "*")]
    public class TestController : ApiController
    {
        // Controller methods not shown...
    }
}

Включить перекрестные запросы (CORS) в ASP.NET Core

Ответ 3

Этот ответ объясняет, что происходит за кулисами, и основы того, как решить эту проблему на любом языке. Для справки см. документы MDN по этой теме.

Вы делаете запрос на URL-адрес от JavaScript, работающего на одном домене (скажем, domain-a.com), к API, работающему на другом домене (domain-b.com). Когда вы делаете это, браузер должен спросить domain-b.com, можно ли разрешить запросы от domain-a.com. Это делается с помощью HTTP-запроса OPTIONS. Затем в ответе сервер на domain-b.com должен предоставить (как минимум) следующие HTTP-заголовки с надписью "Да, все в порядке":

HTTP/1.1 204 No Content                            // or 200 OK
Access-Control-Allow-Origin: https://domain-a.com  // or * for allowing anybody
Access-Control-Allow-Methods: POST, GET, OPTIONS   // What kind of methods are allowed
...                                                // other headers

Если вы находитесь в Chrome, вы можете увидеть, как выглядит ответ, нажав клавишу F12 и перейдя на вкладку "Сеть", чтобы увидеть ответ, который дает сервер на domain-b.com.

Итак, вернемся к минимуму первоначального ответа @threeve:

header := w.Header()
header.Add("Access-Control-Allow-Origin", "*")

if r.Method == "OPTIONS" {
    w.WriteHeader(http.StatusOK)
    return
}

Это позволит любому человеку из любого места получить доступ к этим данным. Другие заголовки, которые он включил, необходимы по другим причинам, но эти заголовки - необходимый минимум для выполнения требований CORS (Cross Origin Resource Sharing).

Ответ 4

Представленное решение здесь является правильным. Однако та же самая ошибка может также произойти из-за ошибки пользователя, когда ваш метод запроса конечной точки совпадает с методом, который вы используете при выполнении запроса.

Например, конечная точка сервера определяется с помощью "RequestMethod.PUT", пока вы запрашиваете метод как POST.