这是一个创建于 2043 天前的主题,其中的信息可能已经有所发展或是发生改变。
记得之前项目需要跨域 php 程序里写 header
access-control-allow-origin: *
chrome console 会报错,大概说 必须明确写明允许哪个 origin ( http://origin-domain) 星号的写法即将被抛弃啥的
刚才在阿里云的 cdn 里试了试 直接在后台配置 http response header 里设置 allow-origin:*, allow-headers:* 居然可以正常在 chrome 里使用,跨域都没问题,也没发起 options 请求 这是什么神奇原理?
chrome 版本:83.0.4103.116
access-control-allow-origin: *
chrome console 会报错,大概说 必须明确写明允许哪个 origin ( http://origin-domain) 星号的写法即将被抛弃啥的
刚才在阿里云的 cdn 里试了试 直接在后台配置 http response header 里设置 allow-origin:*, allow-headers:* 居然可以正常在 chrome 里使用,跨域都没问题,也没发起 options 请求 这是什么神奇原理?
chrome 版本:83.0.4103.116
第 1 条附言 · 2020 年 7 月 1 日
#7
附带身份凭证的请求与通配符
对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example,则请求将成功执行。
附带身份凭证的请求与通配符
对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。
这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example,则请求将成功执行。
 |
1
xiaowei0823 2020 年 6 月 30 日
用 Firefox 试试
|
 |
2
dzdh OP |
|
3
dzdh OP @xiaowei0823 没报错。。。network 栏正常 response 内容输出正常 $.ajax 也正常
|
 |
4
mxT52CRuqR6o5 2020 年 6 月 30 日 via Android
@dzdh 简单请求,允许*,复杂请求不行,就是那些会触发 options 的就不行
|
|
5
dzdh OP |
 |
6
Vegetable 2020 年 6 月 30 日
是的,你记错了
是这里 https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#Requests_with_credentials 某些特殊情况不能是通配符 |
|
7
Vegetable 2020 年 6 月 30 日  3
附带身份凭证的请求与通配符
对于附带身份凭证的请求,服务器不得设置 Access-Control-Allow-Origin 的值为“*”。 这是因为请求的首部中携带了 Cookie 信息,如果 Access-Control-Allow-Origin 的值为“*”,请求将会失败。而将 Access-Control-Allow-Origin 的值设置为 http://foo.example,则请求将成功执行。 |
 |
8
yhxx 2020 年 6 月 30 日
只有 withCredentials 的时候才不能是*吧
|
 |
9
ihipop 2020 年 6 月 30 日 via Android
那只是阿里云的配置,不等于实际的响应,不信你 F12 看下真正请求的响应。
|
 |
10
fe619742721 2020 年 6 月 30 日
Safari 有这个限制
|
|
12
dzdh OP @fe619742721 实测并没有
|
|
14
fe619742721 2020 年 7 月 1 日 via iPhone
@dzdh 额,应该是 iOS12 或者 11 的手机 Safari 上有这个限制,之前定位过这个问题
|
Select Language