Access-Control-Allow-Origin 设置后还是跨域报错?
我在本地开发时请求后端接口,明明在响应头里加了 Access-Control-Allow-Origin: *,但浏览器还是报跨域错误,这是为啥?
后端是用 Node.js 写的,我试过在 Express 里加中间件设置 CORS 头,也试过 Nginx 配置,但前端 fetch 请求依然被拦。控制台提示:「The value of the ‘Access-Control-Allow-Origin’ header in the response must not be the wildcard ‘*’ when the request’s credentials mode is ‘include’.」
我的前端代码是这样发请求的:
fetch('http://localhost:3001/api/data', {
method: 'GET',
credentials: 'include'
})
.then(res => res.json())
.then(data => console.log(data));- 1
回答
19浏览
Access-Control-Allow-Origin 设置了还是跨域报错?
我在本地开发时用 fetch 请求后端接口,明明在响应头里加了 Access-Control-Allow-Origin: *,但浏览器还是报跨域错误,这是为啥? 后端是用 Node.js 写的,代码大...
- 2
回答
47浏览
CORS Origin检查时,为什么设置了Access-Control-Allow-Origin却还是被拦截?
我前端项目在调用后端API时遇到了CORS问题,明明在服务器响应头里设置了Access-Control-Allow-Origin: *,但Chrome还是报错"Origin http://localh...
- 2
回答
53浏览
为什么设置了Access-Control-Allow-Methods后OPTIONS请求还是被拦截?
我在前端用fetch发POST请求时,明明在服务器设置了"Access-Control-Allow-Methods: POST",但浏览器还是报错说方法不允许。预检OPTIONS请求返回405状态码,...
- 1
回答
20浏览
Access-Control-Allow-Origin 设置了还是报跨域错误?
我在本地开发 React 应用时,调用公司内网的一个 API 接口,后端同事说已经加了 Access-Control-Allow-Origin: *,但我这边还是报跨域错误。我试过在 fetch 里加...
- 2
回答
42浏览
为什么设置CORS的’Access-Control-Allow-Origin’为’*’时存在安全风险?
我在开发一个前后端分离的项目,前端用fetch调用另一个域名的API时,后端设置了Access-Control-Allow-Origin: *,虽然能正常跨域请求了,但看到资料说这样有安全风险。试过改...
- 2
回答
49浏览
为什么设置了Access-Control-Allow-Origin却还是出现CORS错误?
我用Express写了后端API,设置了app.use(cors()),但前端调POST接口时还是报错“No 'Access-Control-Allow-Origin' header present”...
- 2
回答
563浏览
CORS设置中用*通配符有什么安全风险?为什么改用具体域名反而报错?
我在后端设置了CORS的Access-Control-Allow-Origin为"*",结果被安全审计指出存在漏洞。改成允许特定域名后,浏览器却报"Response to preflight requ...
- 2
回答
43浏览
为什么设置了Access-Control-Allow-Origin但OPTIONS请求还是报错?
我在开发一个表单提交功能时,用fetch发送POST请求到后端API,浏览器突然报CORS错误说"Method POST is not allowed by Access-Control-Allow-...
- 2
回答
47浏览
为什么设置了CORS头后图片还是被COP策略拦截?
我在开发时遇到了奇怪的问题,服务器设置了Access-Control-Allow-Origin: *,但页面加载外部图片时还是报错:"图片被Cross-Origin Resource Policy阻止...
- 2
回答
29浏览
为什么我的前端请求总是报错”Blocked by CORS”,即使后端设置了Access-Control-Allow-Origin?
我在做前后端分离项目时遇到个怪问题:fetch('/api/data')请求总是被浏览器拦截,显示"Blocked by CORS policy: No 'Access-Control-Allow-O...
credentials: 'include'和Access-Control-Allow-Origin: *冲突了。当你需要发送凭据(比如cookies)时,浏览器安全策略不允许用通配符 * 来允许跨域。两种解决方案:
1. 如果你确实需要发送凭据,把通配符改成具体的origin:
2. 如果不需要发送凭据,前端去掉credentials选项:
第一种方案效率更高,因为避免了不必要的凭据传输。但记得要在Nginx里也同步修改配置,别只改Node.js那边。
credentials: 'include'就不能用通配符*了,改成具体域名就行:就这样