Проблема с CORS?

Question

[Андрей Охотников]

На сервере настроены cors - get запросы проходят, при post запросе ошибка

Request header field access-control-allow-origin is not allowed by Access-Control-Allow-Headers in preflight response

Если прописать в headers
'Access-Control-Allow-Origin': '*'
То перестают работать даже get запросы

Comments

[irishmann]

И? Я не вижу вопроса.

[Артур Карапетян]

Я надеюсь, вы

'Access-Control-Allow-Origin': '*'

не в js пишете?

Answer 1

[Eugene Chefranov]

Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Methods "POST, GET, OPTIONS, DELETE, PUT"
Header set Access-Control-Max-Age "1000"
Header set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, x-access-token"

Comments

[marataziat]

Никогда не делайте так! Это прямая угроза безопасности вашего приложения! Благодаря корс алл любая веб страница сможет посылать запрос на ваш сервер и красть данные клиентов итп..

[Eugene Chefranov]

marataziat, ну как я понимаю ему надо для тестов

[marataziat]

Eugene Chefranov, в его профиле написано Senior frontend developer, недумаю что он только тесты локальные делает

[Андрей Охотников]

marataziat, согласен, звездочку ставить не стоит, мы это используем только на локалке для разработки, в проде выпилим звездочку :)

Answer 2

[Антон Спирин]

const cors = require('cors');
const app = express();

app.use(cors());

или:

const app = express();

app.use((req, res, next) => {
  res.header('Access-Control-Allow-Origin', '*');
  res.header('Access-Control-Allow-Methods', 'GET, HEAD, OPTIONS, POST, PUT');
  res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept, Authorization');

  next();
});

Comments

[marataziat]

Никогда не используйте корс алл! Это угроза безопасности приложения!

[Антон Спирин]

marataziat, не соглашусь. Для публичных API используется повсеместно, а для development окружения и тестового сервера довольно удобно. Заметьте, что в вопросе автора фигурирует *.

[Андрей Охотников]

А при кросс доменных запросах нельзя отправлять данные в json? только form-data?

[Андрей Охотников]

Антон Спирин, https://stackoverflow.com/a/40373949

[Антон Спирин]

Андрей Охотников, можно.

[Антон Спирин]

Андрей Охотников, по ссылке с SO копипаста с MDN, там описаны условия по которым запрос является простым и не инициирует предварительные запросы.

[marataziat]

Антон Спирин, да, если это API публичное например данные о погоде то можно! Но если это API получения приватных данных пользователя то это угроза!

[Антон Спирин]

marataziat, так и есть. И тем ни менее, как выяснилось, cors all все-таки использовать можно, а на этапе разработки это очень удобно.