CORS标头'Access-Control-Allow-Origin'不匹配.但它确实有‼

2022-02-24 00:00:00 cors http-headers javascript firebug

我正在用Java编写一个非常简单的JSON API。它实际上是一个为对象坐标提供服务的僵尸项目模型(Project Zomboid Mod)。我的HTTP处理程序如下所示:

public class JSONZomboid implements HttpHandler
{
    @Override
    public void handle(HttpExchange t) throws IOException {
        // HEADERS
        Headers headers = t.getResponseHeaders();
        headers.set("Content-Type", "text/json");   
        headers.set("Access-Control-Allow-Origin", "pzmap.crash-override.net");                 
        t.sendResponseHeaders(200,0);
        //BODY
        OutputStream os = t.getResponseBody();
        os.write("{
".getBytes());
          // generate JSON here
        os.write("}".getBytes());
        os.close();
    }
}

我想使用userscript将其加载到项目僵尸地图项目中,这意味着我需要启用CORS来连接。这是通过简单的代码完成的:

PlayerRenderer.prototype.fetchInfo = function() {
  $.get("http://127.0.0.1:8000/test", {}, this.displayPoints.bind(this));
}

但我收到此错误:

警告:跨域请求被阻止:同源策略不允许读取http://127.0.0.1:8000/test处的远程资源。(原因:CORS标头‘Access-Control-Allow-Origin’与‘pzmap.ash-override.net’不匹配)。

即使在控制台中,我也可以清楚地看到该错误是误导性的:

如果我不是已经讨厌CORS,我现在就开始讨厌它了。您能告诉我Allow Origin标头中的实际字符串是什么吗?

SSL

上面的注释#1是正确的:CORS需要Access-Control-Allow-Origin头部与客户端的原始请求匹配(为了获得端到端的推荐答案体验)。因此,在本例中,请确保在Access-Control-Allow-Origin标头中设置了pzmap.ash-override.net。

两个注意事项:

1-不管您可能在网上看到什么,nginx当前要求将多个条目作为单独的行列出,例如: 添加_Header Access-Control-Allow-Origin"https://developers.google.com"; 添加标题访问-控制-允许-来源"https://imasdk.googleapis.com";

2-此外,不管您可能在网上看到什么,使用通配符都是不可以的。并非所有客户端(即浏览器)都允许这样做。

相关文章