Какого заголовка не хватает, чтобы CORS не блокировал запросы по одному IP?

Question

[daria_sokolova]

Привет✋ Проблема при запросе с заголовком "Set cookie", установленный сервером

На сервере:
Access-Control-Allow-Credentials "true"
Access-Control-Allow-Origin: (нужный ip без порта), не звездочка

На фронте:
используется axios, передаю параметр withCredentials: true

В постмане запрос проходит, cookie устанавливается, в браузере ошибка:
The value of the 'Access-Control-Allow-Credentials' header in the response is '' which must be 'true'. Что не деает записать cookie

Если Access-Control-Allow-Credentials: true, то Access-Control-Allow-Origin: * как я понимаю нельзя использовать. Предполагаю, что не хватает указаний на фронте

Answer 1

[Robur]

Вы же сами все и написали:
Access-Control-Allow-Credentials должен быть true ( у вас '') - проверяйте в девтулзах.
Access-Control-Allow-Origin должен быть не *

Comments

[daria_sokolova]

Запускаю хром с --disable-web-security, так всё работает, заголовок true.
В том и дело, что на сервере Credentials установлен как true. Разве он может прийти пустой?

[Robur]

daria_sokolova, я не знаю, что у вас может произойти или нет, для начала посмотрите что на самом деле приходит.

[daria_sokolova]

Robur, на самом деле и приходит true, указала на это. Поэтому и вопрос, почему в браузере "", если на сервере и клиента указаны такие-то параметры.

[Robur]

daria_sokolova, у вас прямо в сетевом запросе в хедерах в девтулзах стоит true, а браузер выдает ошибку что там ''?
покажите заготовки ответа из девтулз

Answer 2

[xenonhammer]

header("Access-Control-Allow-Origin: localhost:3000" )
Если ваш фронт на http://localhost:3000. Попробуйте без ip

Comments

[daria_sokolova]

Это внешний ip, он нужен, но для локалки тоже это надо настраивать. Спасибо Вам