子域名配置CORS后还是跨域,到底哪里错了?
我们主站是 example.com,API 服务部署在 api.example.com。我在后端设置了 Access-Control-Allow-Origin: https://example.com,但前端从 example.com 发起请求时依然报 CORS 错误,说 origin 不被允许。
试过把 credentials 设成 true,也加了 withCredentials,但没用。是不是子域名和主域名之间还有啥坑?
<script setup>
import axios from 'axios'
axios.defaults.withCredentials = true
const fetchData = async () => {
try {
const res = await axios.get('https://api.example.com/user')
console.log(res.data)
} catch (err) {
console.error(err)
}
}
</script>
- 2
回答
65浏览
Nginx配置CORS后前端还是跨域,哪里出问题了?
我在本地用Vue开发,请求后端API一直报跨域错误,明明已经在Nginx里加了CORS头,但浏览器还是拦着不让过,到底是哪没配对? 我试过在Nginx的location块里加add_header,也重...
- 2
回答
58浏览
Nginx配置CORS后前端还是报跨域错误怎么办?
我在本地用React调后端API,后端部署在另一台服务器上。已经在Nginx里加了CORS头,但浏览器还是报跨域错误,不知道哪里没配对。 这是我的请求代码: fetch('https://a...
- 2
回答
59浏览
CORS白名单配置后前端还是跨域,咋回事?
我后端已经加了CORS白名单,只允许我们自己的域名访问,但本地开发时用 localhost:8080 还是报跨域错误,是不是哪里没配对? 我在 Vue 里是这样发请求的: <script set...
- 1
回答
67浏览
Nginx配置CORS后还是报跨域错误怎么办?
我在本地开发时用 Vue 调用公司测试服务器的 API,一直被 CORS 拦截。明明已经在 Nginx 里加了跨域头,但浏览器控制台还是报错:「has been blocked by CORS pol...
- 1
回答
84浏览
子域名间CORS配置为什么还是被拦截?
我在做子域名间的数据交互时遇到了CORS问题。主域名是example.com,后端接口在api.example.com,前端在www.example.com发起请求。按照教程设置了Access-Con...
- 2
回答
105浏览
CORS域名验证时,为什么多个子域名配置会覆盖之前的规则?
我在配置CORS时遇到奇怪的问题,后端设置了允许两个子域名api.example.com和test.example.com,但实际请求时只有最后一个配置生效。比如先写: header("Access-...
- 1
回答
52浏览
CORS请求中Referrer检查到底有没有用?
我最近在做前端调用后端API,遇到CORS问题。后端同事说他们加了Referrer检查来防止跨域请求,但我听说这并不安全?我自己试了一下,发现即使设置了Referer,浏览器还是会因为CORS策略拦掉...
- 1
回答
62浏览
CORS配置到底该怎么写才安全?
我在本地开发时调后端接口老是被CORS拦住,试过在Nginx里加add_header 'Access-Control-Allow-Origin' '*';,虽然能通了,但听说这样不安全。那到底应该怎么...
- 1
回答
73浏览
前端用代理解决CORS问题,为什么本地开发可以线上却不行?
我在本地开发时用 Vite 的 proxy 配置成功绕过了 CORS,接口能正常调用。但部署到线上后,请求还是被浏览器拦了,报错 CORS header 'Access-Control-Allow-O...
- 2
回答
115浏览
CORS配置能防御CSRF攻击吗?应该如何正确设置?
我在用Spring Boot配置CORS时发现,设置了allowedOrigins为可信域名,但测试时用其他域名发起带token的POST请求居然成功了,这不还是存在CSRF漏洞吗? 后端配置是这样写...
Access-Control-Allow-Origin的设置是正确的。首先,确保你的后端配置里
Access-Control-Allow-Origin是https://example.com而不是https://api.example.com,因为你是从example.com发起的请求。但是,如果你需要支持多个子域名,可以考虑使用通配符或者动态设置这个头信息,不过通配符在需要携带凭证的情况下是不行的。其次,既然你在前端设置了
withCredentials为 true,后端也需要相应地设置Access-Control-Allow-Credentials为 true。注意,设置了Access-Control-Allow-Credentials后,Access-Control-Allow-Origin就不能用通配符*,必须指定具体的源,也就是https://example.com。最后,确保你的服务器还正确设置了
Access-Control-Allow-Methods和Access-Control-Allow-Headers,特别是在预检请求(OPTIONS 方法)的时候。举个例子,你的后端响应头大致应该是这样的:
这样应该能解决你的 CORS 问题。记得检查一下网络请求的详细信息,看具体的错误提示是什么,有时候浏览器会给出一些有用的线索。
Access-Control-Allow-Origin,浏览器还是会因为凭证问题拒绝请求。首先确保你的 API 服务器上正确设置了 CORS 头。你需要允许
https://example.com并且设置Access-Control-Allow-Credentials为 true。代码大致如下:然后在你的前端代码里,你已经设置了
withCredentials为 true,这部分是对的。不过,还有一点需要注意的是,浏览器会先发送一个预检请求(OPTIONS 方法),检查是否允许真正的请求。确保你的服务器能够正确响应这个预检请求。通常你需要在服务器端添加类似以下的处理:
如果以上都设置正确了,但问题依旧存在,可能需要检查你的服务器配置,比如 Nginx 或 Apache 的相关设置,有时候这些配置会覆盖掉 PHP 设置的头信息。
如果懒得自己搞这些配置,插件也可以,比如 WordPress 上有个叫 "CORS" 的插件,可以帮你快速设置好这些头信息,但记得检查一下插件的安全性和更新情况。