CORS白名单配置后前端还是跨域,咋回事?
我后端已经加了CORS白名单,只允许我们自己的域名访问,但本地开发时用 localhost:8080 还是报跨域错误,是不是哪里没配对?
我在 Vue 里是这样发请求的:
<script setup>
import axios from 'axios'
const fetchData = async () => {
try {
const res = await axios.get('https://api.example.com/data')
console.log(res.data)
} catch (err) {
console.error('请求失败:', err)
}
}
</script>后端说白名单里加了 https://myapp.com,但本地开发用的是 http://localhost:8080,这算不算没匹配上?需要把 localhost 也加进去吗?
- 2
回答
17浏览
Nginx配置CORS后前端还是跨域,哪里出问题了?
我在本地用Vue开发,请求后端API一直报跨域错误,明明已经在Nginx里加了CORS头,但浏览器还是拦着不让过,到底是哪没配对? 我试过在Nginx的location块里加add_header,也重...
- 2
回答
48浏览
为什么设置了Access-Control-Allow-Origin却还是出现CORS错误?
我用Express写了后端API,设置了app.use(cors()),但前端调POST接口时还是报错“No 'Access-Control-Allow-Origin' header present”...
- 1
回答
15浏览
前端用代理解决CORS问题,为什么本地开发能行上线就挂了?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,请求第三方 API 没问题。但部署到线上后,直接报跨域错误,明明线上也配了 Nginx 反向代理,怎么就不生效了? 本地配置是这样...
- 1
回答
16浏览
CORS 中 Access-Control-Allow-Methods 设置后为啥还是报错?
我前端用 fetch 发了个 DELETE 请求,但浏览器控制台一直报 CORS 错误,说 method 不被允许。后端明明已经加了 Access-Control-Allow-Methods: GET...
- 1
回答
71浏览
CORS配置能防御CSRF攻击吗?应该如何正确设置?
我在用Spring Boot配置CORS时发现,设置了allowedOrigins为可信域名,但测试时用其他域名发起带token的POST请求居然成功了,这不还是存在CSRF漏洞吗? 后端配置是这样写...
- 1
回答
43浏览
子域名间CORS配置为什么还是被拦截?
我在做子域名间的数据交互时遇到了CORS问题。主域名是example.com,后端接口在api.example.com,前端在www.example.com发起请求。按照教程设置了Access-Con...
- 2
回答
42浏览
CORS Origin检查时,为什么设置了Access-Control-Allow-Origin却还是被拦截?
我前端项目在调用后端API时遇到了CORS问题,明明在服务器响应头里设置了Access-Control-Allow-Origin: *,但Chrome还是报错"Origin http://localh...
- 1
回答
56浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
- 2
回答
43浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头,但控制台还是提示:...
- 1
回答
6浏览
CORS配置后为什么还是报跨域错误?
我在本地开发时用的是 http://localhost:3000,后端接口在 http://localhost:8080。明明已经在后端加了 CORS 配置允许 origin,但浏览器还是报跨域错误,...
http://localhost:8080和https://myapp.com完全不是一回事,CORS 白名单必须把http://localhost:8080也加进去,而且注意协议(http vs https)和端口(8080)都要完全匹配,我之前这样搞的:后端白名单里加http://localhost:8080,生产环境再加https://myapp.com,改完重启服务再试,别用代理缓存绕过本地开发时的跨域。