Походження не заборонено системою Access-Control-Allow-Origin

Я створюю Ajax.requestвіддалений сервер PHP в додатку Sencha Touch 2 (обгорнутої в PhoneGap ).

Відповідь сервера така:

XMLHttpRequest не може завантажити http://nqatalog.negroesquisso.pt/login.php . Походження http://localhost:8888не заборонено системою Access-Control-Allow-Origin.

Як я можу виправити цю проблему?

Нещодавно я писав статтю з цього питання, Cross Domain AJAX .

Найпростіший спосіб впоратися з цим, якщо ви маєте контроль над сервером, що відповідає, - це додати заголовок відповіді для:

Access-Control-Allow-Origin: *

Це дозволить Ajax між доменами . У PHP вам потрібно буде змінити відповідь так:

<?php header('Access-Control-Allow-Origin: *'); ?>

Ви можете просто помістити Header set Access-Control-Allow-Origin *налаштування у конфігурацію Apache або у файл htaccess.

Слід зазначити, що це ефективно вимикає захист CORS, що дуже ймовірно піддає вашим користувачам атаку . Якщо ви не знаєте, що вам спеціально потрібно використовувати підстановку, ви не повинні використовувати її, а замість цього слід додати білий список вашого домену:

<?php header('Access-Control-Allow-Origin: http://example.com') ?>

Якщо ви НЕ маєте контролю над сервером, ви можете просто додати цей аргумент для вашої пусковий установки Chrome: --disable-web-security.

Зауважте, що я б не використовував це для звичайного "веб-серфінгу". Для довідки див. Цю публікацію: Вимкнення політики політики щодо оригіналу в Chrome .

Якщо ви використовуєте Phonegap для того, щоб фактично створити додаток і завантажити його на пристрій, це не буде проблемою.

Якщо ви використовуєте Apache, просто додайте:

<ifModule mod_headers.c>
    Header set Access-Control-Allow-Origin: *
</ifModule>

у вашій конфігурації. Це призведе до того, що всі відповіді вашого веб-сервера будуть доступні з будь-якого іншого веб-сайту в Інтернеті. Якщо ви маєте намір дозволити сервіси вашого хоста використовувати лише певний сервер, ви можете замінити *його URL-адресою вихідного сервера:

Header set Access-Control-Allow-Origin: http://my.origin.host

Якщо у вас є програма ASP.NET / ASP.NET MVC , ви можете включити цей заголовок через файл Web.config:

<system.webServer>
  ...

    <httpProtocol>
        <customHeaders>
            <!-- Enable Cross Domain AJAX calls -->
            <remove name="Access-Control-Allow-Origin" />
            <add name="Access-Control-Allow-Origin" value="*" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

Це було перше питання / відповідь, що з’явився для мене при спробі вирішити ту саму проблему, використовуючи ASP.NET MVC як джерело моїх даних. Я усвідомлюю, що це не вирішує питання PHP , але воно пов'язане достатньо, щоб бути цінним.

Я використовую ASP.NET MVC. Повідомлення в блозі від Грега Бранта працювало на мене. Зрештою, ви створюєте атрибут, [HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]який ви можете додати до дій контролера.

Наприклад:

public class HttpHeaderAttribute : ActionFilterAttribute
{
    public string Name { get; set; }
    public string Value { get; set; }
    public HttpHeaderAttribute(string name, string value)
    {
        Name = name;
        Value = value;
    }

    public override void OnResultExecuted(ResultExecutedContext filterContext)
    {
        filterContext.HttpContext.Response.AppendHeader(Name, Value);
        base.OnResultExecuted(filterContext);
    }
}

А потім використовувати його з:

[HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]
public ActionResult MyVeryAvailableAction(string id)
{
    return Json( "Some public result" );
}

Оскільки Метт Момбре відповідає правильній стороні сервера, ви можете зіткнутися з іншою проблемою, яка полягає у відхиленні білого списку.

Ви повинні налаштувати свій phonegap.plist. (Я використовую стару версію фонегапу)

Для cordova можуть бути деякі зміни в іменуванні та каталозі. Але кроки мають бути здебільшого однаковими.

Спочатку виберіть Підтримуючі файли> PhoneGap.plist

потім під "Зовнішніми хостами"

Додайте запис зі значенням, можливо, " http://nqatalog.negroesquisso.pt " Я використовую * лише для налагодження.

Це може бути зручно для тих, хто потребує винятку як для "www", так і для "non-www" версій реферала:

 $referrer = $_SERVER['HTTP_REFERER'];
 $parts = parse_url($referrer);
 $domain = $parts['host'];

 if($domain == 'google.com')
 {
         header('Access-Control-Allow-Origin: http://google.com');
 }
 else if($domain == 'www.google.com')
 {
         header('Access-Control-Allow-Origin: http://www.google.com');
 }

Я дам вам просте рішення для цього. У моєму випадку я не маю доступу до сервера. У цьому випадку ви можете змінити політику безпеки у своєму браузері Google Chrome, щоб дозволити Access-Control-Allow-Origin. Це дуже просто:

1. Створіть ярлик браузера Chrome
2. Клацніть правою кнопкою миші піктограму скорочення -> Властивості -> Ярлик -> Ціль

Проста вставка "C:\Program Files\Google\Chrome\Application\chrome.exe" --allow-file-access-from-files --disable-web-security.

Розташування може відрізнятися. Тепер відкрийте Chrome, натиснувши на цей ярлик.

Я стикався з цим кілька разів під час роботи з різними API. Часто швидким виправленням є додавання "& callback =?" до кінця рядка. Іноді в символі "ampersand" повинен бути код символу, а іноді "?": "? Callback =?" (див. Використання API API.io за допомогою jQuery )

Якщо ви пишете розширення Chrome і отримати цю помилку, то переконаєтеся , що ви додали базовий URL в API, щоб ваш manifest.json«s дозволу блоку , наприклад:

"permissions": [
    "https://itunes.apple.com/"
]

Це відбувається через політику одного походження . Дивіться більше в Мережі розробників Mozilla або Вікіпедії .

В основному, у вашому прикладі вам потрібно завантажувати http://nqatalog.negroesquisso.pt/login.phpсторінку лише з nqatalog.negroesquisso.pt, а не localhost.

якщо ви знаходитесь під apache, просто додайте .htaccess файл у свій каталог із цим вмістом:

Header set Access-Control-Allow-Origin: *

Header set Access-Control-Allow-Headers: content-type

Header set Access-Control-Allow-Methods: *

У Ruby on Rails ви можете робити в контролері:

headers['Access-Control-Allow-Origin'] = '*'

Ви можете змусити його працювати без зміни сервера, зробивши броузер, включаючи заголовок Access-Control-Allow-Origin: *у відповіді HTTP OPTIONS.

У Chrome використовуйте це розширення . Якщо ви перебуваєте в Mozilla, перевірте цю відповідь .

Якщо ви отримаєте це в Angular.js, переконайтесь, що ви уникаєте номера порту так:

var Project = $resource(
    'http://localhost\\:5648/api/...', {'a':'b'}, {
        update: { method: 'PUT' }
    }
);

Дивіться тут для отримання додаткової інформації.

У нас також є проблема з програмою phonegap, протестованою в хромі. Один автомат Windows, який ми використовуємо нижче пакетного файлу щодня перед відкриттям Chrome. Запам’ятайте перед тим, як запустити це, вам потрібно очистити всі екземпляри хрому від менеджера завдань, або ви можете вибрати хром, щоб не працювати у фоновому режимі.

ПАРТІЯ: (використовувати cmd)

cd D:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-web-security

У Рубі Сінатра

response['Access-Control-Allow-Origin'] = '*' 

для всіх або

response['Access-Control-Allow-Origin'] = 'http://yourdomain.name' 

Коли ви отримаєте запит, ви можете

var origin = (req.headers.origin || "*");

ніж тоді, коли вам доведеться відповісти, рухайтеся з чимось таким:

res.writeHead(
    206,
    {
        'Access-Control-Allow-Credentials': true,
        'Access-Control-Allow-Origin': origin,
    }
);