Почему не подставляются заголовки cors?

Question

[templton1982]

На стороны бекенда отправляю заголовки:

header("Access-Control-Allow-Origin: validate.ru");
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');

Со стороны фронта делаю ajax запрос через jquery. И вот вопрос. Почему если добавить такую строку в параметры запроса
dataType: 'jsonp',
то на вкладке network я увижу, что сервер вставил cors заголовки, а без этой строки заголовки cors куда-то деются.

Еще есть такое уточнение. Фронт расположен на локальном хосте. Но хост настроил. То есть запросы идут с именем origin=my_domain.ru

Comments

[Lynn «Кофеман»]

Для начала в Origin должен быть протокол, т.е. http или https

Далее, jsonp это банальный тег script и кго корс вообще не волнует

[Lynn «Кофеман»]

Показывайте запрос и ответ

[templton1982]

Алексей Тен,
Если без jsonp, получается вот так:


А с jsonp вот такой ответ:

crossDomain: true,
dataType: 'jsonp',

Со стороны сервера ничего не меняется.

[templton1982]

Алексей Тен, Пробовал и с протоколом, и без. Все равно не хочет добавляться без jsonp

[Lynn «Кофеман»]

Я б ещё в конфиги апача глянул

[templton1982]

На бекенде или на локальном хосте? Если на локальном, то все по умолчанию, сразу после установки. А вот на бекенде... А на предмет чего глянуть? Можно заблокировать cors на уровне апача?

Answer 1

[Денис Грибанов]

Цитата c api.jquery.com/jquery.ajax

Script and JSONP requests are not subject to the same origin policy restrictions.

Т.е. при запросе dataType:'jsonp' CORS не используется. Отсюда проблема не в jsonp, а в неправильной настройке CORS. К сожалению, пример который Вы привели не дает полной картины что настроено не так.

Comments

[templton1982]

Вот как раз с jsonp заголовки-то приходят правильно. Не работает простой ajax запрос. Пример там простейший: $.ajax({url:"som_url.ru"}) - заголовки с сервера приходить не будут.
Если в список параметров добавить dataType:'jsonp', то заголовки начнут приходить

[templton1982]

Может быть удаленный апач как-то режет заголовки?

[Борис Черепанов]

Тут разве не ошибка в самих заголовках

header("Access-Control-Allow-Origin: validate.ru"); - т.е разрешено делать запросы с validate.ru
header('Access-Control-Allow-Credentials: true');
header('Access-Control-Max-Age: 86400');

А origin вы пишите origin=my_domain.ru

Плюс вы пишите Access-Control-Allow-Credentials: true (соответственно в запросе тоже убрать credentials), т.е предусматривается, что в запросе будут идти авторизационные данные.

Возможно вам нужно убрать заголовок Access-Control-Allow-Credentials и установить "Access-Control-Allow-Origin: *"

Подробнее есть в этой статье

[templton1982]

Борис Черепанов,

Вот это убирал, результат тот же:
header('Access-Control-Allow-Credentials: true');

Вот так тоже делал, результата нет
"Access-Control-Allow-Origin: *"