2

midway 跨域

最近准备上手midway.js来开发点东西。开发的API,在前端(vue+axios)调用时总是提示跨域,但ajax又能调用。浪费了很多时间,在此记录一下。

midway 配置:

之前搜索过跨域问题解决办法:

csrf 配置

//在”src/config/config.default.ts”,添加代码如下

export default (appInfo: EggAppInfo) => {
  const config = <DefaultConfig> {};
  ……
  // 跨域  @midwayjs/web 默认添加了此项配置的
  config.security = {
    csrf: {
      enable: false, 
    },
    
    domainWhiteList: ['http://127.0.0.1:9384'], // 允许跨域的域名
  };
  ……
}

<font color=red>提示:很多文档说的解决跨域,这样一设置就OK了,实践告诉我关这个配置还是不行的!!</font>

security 配置项是eggjs中对安全的一项配置,详见: 安全威胁 CSRF 的防范

CORS 配置

安装 egg-cors

$ npm i egg-cors --save 

配置插件启用

// src/config/plugin.ts
exports.cors = {
  enable: true,
  package: 'egg-cors',
}

配置 cors 插件

// src/config/config.default.ts
export const cors = {
  // {string|Function} origin: '*',
  // {string|Array} allowMethods: 'GET,HEAD,PUT,POST,DELETE,PATCH'
};

如果这个地方设置了origin: '*',那么在security下设置的domainWhiteList无用了

另一种设置方法

origin(ctx) {
     // return "*"; // 允许来自所有域名请求
     // return ctx.header.origin;// 当*无法使用时,使用这句,同样允许所有跨域
     // return 'http://localhost:8080'; //单个跨域请求
     // 允许多个跨域
     const allowCors = [
       'http://localhost:9384',
       'http://127.0.0.1:9384',
       'http://172.16.92.62:9384',
     ];
     return allowCors.indexOf(ctx.header.origin) > -1 ? ctx.header.origin : '';
},

<font color=red>经测试allowMethods 好像不管用</font>

如果只想特定域名,需要在 security 插件处配置。详见 上面csrf

domainWhiteList: ['http://127.0.0.1:9384'], // 允许跨域的域名
经测试:在security 下指定了此项,config.cors不用设置也行

vue axios

如果你在axios设置中添加了<font color=red> withCredentials=true</font> 这个选项,那么请求也会造成跨域

参考:https://blog.csdn.net/hermits...

后端设置方法:

config.cors{
     credentials: true, 
     origin: 'http://127.0.0.1:9384', // 注意,这个地方不能使用 * 可以使用上面介绍的函数方式,必须要包含你的前端地址
}

其他框架

参考: https://www.yuque.com/midwayj...


wujh
9 声望1 粉丝