问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

React fetch,“credentials:include”,破坏了我的整个请求,我得到了一个错误

社区维基
1
新手上路,请多包涵

概括:

我正在 React 中向我的 Node.js 服务器发出获取请求。

每当我不包括 credentials: "include" 并且在我的获取请求中时,请求就会成功地发送到服务器并返回给客户端。

但是,当我包含 credentials: "include" 时,如下所示:

 fetch('http://localhost:8000/',
    {   method: "GET",
       'credentials': 'include',
        headers: new Headers({
            'Accept': 'application/json',
            'Access-Control-Allow-Origin':'http://localhost:3000/',
            'Content-Type': 'application/json',
    })

}) ....

我收到此预检错误:

login:1 Access to fetch at 'http://localhost:8000/' from origin 'http://localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'.

语境:

为什么我需要包括其中任何一个?

  1. 我认为很明显为什么我需要包含“标头”,我使用的是 cors,如果我不包含 'Access-Control-Allow-Origin':'http://localhost:3000/' 那么服务器将不会接受请求。
  2. 如果没有它就可以工作,为什么我需要包括“凭据”?因为如果我在获取请求正确执行时不包含“凭据”,除非我包含 credentials: "include" 否则会话 cookie 将不会从我的客户端发送到服务器。如果我删除所有标头并包含 mode: 'no-cors' ,然后执行提取请求并将会话 cookie 发送到服务器,但显然我得到了一个不透明的响应,并且无论如何我都需要使用 cors。

尝试:

有很多与此类 似的 堆栈溢出问题,但并不准确,因此他们的解决方案不起作用。

以下是我尝试过但没有用的一些方法:

  1. 这已经在我的服务器上,但有人建议在客户端尝试它,所以我做了: 'Access-Control-Request-Method': 'GET, POST, DELETE, PUT, OPTIONS',

  2. 'Access-Control-Allow-Credentials': 'true',

  3. 'withCredentials': 'true',

  4. Origin: 'http://localhost:3000/auth',

  5. crossorigin: true,

  6. 是的,我已经设置了一个代理(这有助于解决之前的问题): "proxy": "http://localhost:8000"

  7. 我已经尝试了更多其他解决方案但无济于事,我确定我已经阅读了与此问题相关的绝大多数问题以及相应的答案,即使不是全部。我的服务器设置正确,这就是为什么我没有包含任何代码的原因。

在理想情况下,我不需要使用 credentials: "include" 将会话 cookie 发送回我的服务器,但这是我必须实施的另一个解决方案的原因。

如果有人能帮助我,我将不胜感激。

TLDR:

只要我不包含 credentials: "include" ,我的预检请求就会通过,但会话 cookie 不会通过。

当我包含 credentials: "include"mode: 'no-cors' 时,会话 cookie 被传递,但是,我收到一个不透明的响应,我需要使用 cors。

最后,当我将两者(cors 和凭据)结合起来时,我的预检请求失败并出现以下错误:

login:1 Access to fetch at 'http://localhost:8000/' from origin 'http://localhost:3000' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: The value of the 'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' when the request's credentials mode is 'include'.

原文由 ezg 发布,翻译遵循 CC BY-SA 4.0 许可协议

Stack Overflow 翻译javascriptreactjsajaxapirest
阅读 1.6k
2 个回答
得票最新
社区维基
1
✓ 已被采纳

这很可能来自您的服务器。您是否在后端安装了 cors npm 包?

https://www.npmjs.com/package/cors

您还需要配置它。

最有可能在您的 index.js 文件中。

 const express = require("express")
const cors = require("cors");
const app = express();

app.use(cors({
  origin : http://localhost:3000 (Whatever your frontend url is)
  credentials: true, // <= Accept credentials (cookies) sent by the client
})

app.use("/api/whatever/the/endpoint", yourRouter);

这必须在任何路由之前设置。 Origin 可以是一组白名单(允许)域,用于与您的后端 api 通信。

原文由 yeeeehaw 发布,翻译遵循 CC BY-SA 4.0 许可协议

社区维基
1

此处正确的解释是服务器在响应中发回标头 Access-Control-Allow-Origin: * (如错误消息中所述)。

没有凭据,这是可以接受的。但是,引用 Mozilla CORS 文档

响应凭据请求时,服务器必须在 Access-Control-Allow-Origin 标头的值中指定来源,而不是指定“*”通配符。

此外,如果您已经在使用 npm cors 模块 来处理响应标头的设置,请注意

默认配置相当于:

 {
  "origin": "*",
  "methods": "GET,HEAD,PUT,PATCH,POST,DELETE",
  "preflightContinue": false,
  "optionsSuccessStatus": 204
}

所以你必须明确地配置它。这就是 @yeeeehaw 的回答 有效的原因 - 他们建议明确设置 origin 选项,该选项转换为设置 Access-Control-Allow-Origin 在幕后。

请注意,作为替代解决方案,而不是显式设置 origin (即 Access-Control-Allow-Origin ),您可以 将请求的来源反映 为其值。 cors 中间件通过其配置方便地提供了这一点。

布尔值 - 将 origin 设置为 true 以反映请求来源,如 req.header(‘Origin’) 所定义,或将其设置为 false 以禁用 CORS。

 origin: true

在 Stack Overflow 上,这也已 在此处 进行了描述,在 此处的 反向代理级别上(对于 NGINX)。也许最相似的问题在 这里

原文由 Ders 发布,翻译遵循 CC BY-SA 4.0 许可协议

查看全部 2 个回答
推荐问题