Почему CORS не пропускает запрос на другой домен?

Question

[luckyjenro0]

Есть сервер с nginx, nodejs.
Есть клиент, с которого через axios я отправляю запрос на сервер.

ВАЖНО! Клиент и сервер на разных ip и доменнах.

Вот nodejs:

const corsOptions = {
    origin: "https://blamegrief.ru",
    allowedHeaders: [
        "Content-Type",
        "Authorization",
        "Access-Control-Allow-Methods",
        "Access-Control-Request-Headers",
        "Access-Control-Allow-Origin",
    ],
    credentials: true,
    enablePreflight: true,
};
app.use(function(req, res, next) {
    res.setHeader("Access-Control-Allow-Origin", "https://blamegrief.ru");
    res.setHeader("Access-Control-Allow-Headers", "origin, content-type, accept");
    next();
});
app.use(cors(corsOptions));
app.options("*", cors(corsOptions));

Вижу что в логах на сервер запрос OPTIONS проходит отлично (200).




Но, ошибка:

has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource

Answer 1

[Rsa97]

В ответ на запрос OPTIONS должны вернуться CORS-заголовки. У вас в ответе их нет.
И ставить Access-Control-Allow-Origin в заголовки запроса бессмысленно, это заголовок только для ответа.

Comments

[luckyjenro0]

а какие конкретно? они же у меня возвращаются.

app.use(function(req, res, next) {
    res.setHeader("Access-Control-Allow-Origin", "https://blamegrief.ru");
    res.setHeader("Access-Control-Allow-Headers", "origin, content-type, accept");
    next();
});

[Rsa97]

luckyjenro0, Где? Посмотрите секцию Response Headers на своём скриншоте.

[luckyjenro0]

Rsa97, и как мне их вернуть? я все делал по гайдам с инета, там ничего больше не добавлялось. может надо у nginx настройки какие сделать?

[luckyjenro0]

Rsa97, почему тогда я зашел на сайт что бы онлайн проверить cors, отправил post запрос и все отлично, а тут нет(

[Rsa97]

luckyjenro0, С node.js и nginx я вам не помогу, я с ними не работаю.