タグ付けされた質問 「cors」

非常に単純なHTTPサーバー用の次のシェルスクリプトがあります。 #!/bin/sh echo "Serving at http://localhost:3000" python -m SimpleHTTPServer 3000 このサーバーのようにCORSヘッダーを有効にしたり追加したりするにはどうすればよいAccess-Control-Allow-Origin: *ですか？

121 python  cors  simplehttpserver 

単純なクロスオリジンリクエストを作成しようとしていますが、Firefoxは常に次のエラーでブロックしています。 Cross-Origin Request Blocked：Same Origin Policyは、[url]のリモートリソースの読み取りを許可しません。これは、リソースを同じドメインに移動するか、CORSを有効にすることで修正できます。[url] ChromeとSafariでは問題なく動作します。 私の知る限り、PHPで正しいヘッダーをすべて設定して、これが機能するようにしています。これが私のサーバーの応答です HTTP/1.1 200 OK Date: Mon, 23 Jun 2014 17:15:20 GMT Server: Apache/2.2.22 (Debian) X-Powered-By: PHP/5.4.4-14+deb7u8 Access-Control-Allow-Origin: * Access-Control-Allow-Methods: GET, POST, OPTIONS Access-Control-Allow-Headers: Content-Type Access-Control-Request-Headers: X-Requested-With, accept, content-type Vary: Accept-Encoding Content-Length: 186 Content-Type: text/html Angular、jQuery、および基本的なXMLHTTPRequestオブジェクトを使用してみました。 var data = "id=1234" var request = new …

119 javascript  firefox  cors  cross-domain 

Chromeを使用してクロスドメインCORSリクエストを正しく機能させるのに問題があります。 リクエストヘッダー： Accept:*/* Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3 Accept-Encoding:gzip,deflate,sdch Accept-Language:en-US,en;q=0.8 Access-Control-Request-Headers:origin, content-type Access-Control-Request-Method:POST Connection:keep-alive User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.94 Safari/537.4 応答ヘッダー： Access-Control-Allow-Headers:* Access-Control-Allow-Origin:* Allow:GET, POST, OPTIONS Content-Length:0 Date:Tue, 30 Oct 2012 20:04:28 GMT Server:BaseHTTP/0.3 Python/2.7.3 エラー： XMLHttpRequest cannot load domain. Request header field Content-Type is not allowed …

118 http  browser  cors 

通常、プリフライトと実際のリクエストの両方のコールが表示されます。これは時々迷惑です。フライト前のリクエストを非表示にする方法はありますか？ または、ヘッダーに基づいて特定のリクエストをフィルタリングするプラグインはありますか？

117 cors  google-chrome-devtools 

休業。この質問は意見に基づいています。現在、回答を受け付けていません。 この質問を改善してみませんか？この投稿を編集して、事実と引用で回答できるように質問を更新してください。 4年前休業。 この質問を改善する 私のWebAPIはイントラネット環境にデプロイされました。つまり、セキュリティは私の関心事ではありませんでした。 CORSはクライアントにとってより親しみやすく、実装しやすいようです。 私が見逃したかもしれない他の懸念はありますか？

111 jsonp  cors  asp.net-web-api 

tl; dr; 同一生成元ポリシーについて express.jsサーバーのインスタンスを開始するGruntプロセスがあります。これは、Chromeの開発者コンソール（最新バージョン）のエラーログに次のように表示される空白ページの提供を開始するまで、まったく問題なく機能していました。 XMLHttpRequestがhttps://www.example.com/を読み込め ません。リクエストされたリソースに「Access-Control-Allow-Origin」ヘッダーがありません。したがって、オリジン ' http：// localhost：4300 'はアクセスを許可されません。 ページにアクセスできないのはなぜですか？

111 javascript  cors  same-origin-policy 

Firefoxでは、--disable-web-securityChromeで同等のことをするにはどうすればよいですか。これはたくさん投稿されましたが、本当の答えはありません。ほとんどはアドオンへのリンク（一部は最新のFirefoxで機能しないか、まったく機能しない）であり、「サーバーでサポートを有効にする必要があるだけです」。 これはテストするための一時的なものです。セキュリティへの影響を知っています。 サーバーでCORSをオンにできません。特にlocalhostなどを許可することはできません。 フラグ、設定、または何かはプラグインよりもはるかに優れています。私も試してみました：http : //www-jo.se/f.pfleger/forcecors、しかし私のリクエストは完全に空として返されるので何かが間違っているはずですが、Chromeの同じリクエストは正常に返されます。 繰り返しますが、これは、prodにプッシュする前のテストのためのものであり、その場合、許容可能なドメイン上にあります。

108 security  firefox  cross-domain  cors 

クライアント側でAngularJS $ httpを使用して、サーバー側のASP.NET Web APIアプリケーションのエンドポイントにアクセスしています。クライアントはサーバーとは異なるドメインでホストされているため、CORSが必要です。$ http.post（url、data）で機能します。しかし、ユーザーを認証し、$ http.get（url）を介してリクエストを行うとすぐに、メッセージが表示されます 「Access-Control-Allow-Origin」ヘッダーには複数の値「http://127.0.0.1:9000、http://127.0.0.1:9000」が含まれていますが、許可されているのは1つだけです。したがって、Origin 'http://127.0.0.1:9000'はアクセスを許可されません。 Fiddlerは、オプション要求が成功した後、get要求に実際に2つのヘッダーエントリがあることを示しています。何がどこで間違っているのですか？ 更新 $ http.getの代わりにjQuery $ .getを使用すると、同じエラーメッセージが表示されます。したがって、これはAngularJSには問題がないようです。しかし、どこが間違っているのでしょうか？

104 asp.net-web-api  cors  angularjs-http 

この質問は、クロスサイトリクエストフォージェリ攻撃のみに対する保護についてです。 具体的には：Originヘッダー（CORS）による保護は、CSRFトークンによる保護と同じくらい優れていますか？ 例： Aliceは、ブラウザーを使用して（Cookieを使用して） " https://example.com "にログインします。彼女は最新のブラウザを使用していると思います。 アリスが「https://evil.com」にアクセスし、evil.comのクライアント側コードが「https://example.com」への何らかの要求を実行します（従来のCSRFシナリオ）。 そう： Originヘッダー（サーバー側）をチェックせず、CSRFトークンもチェックしない場合、CSRFセキュリティホールがあります。 CSRFトークンをチェックすれば安全です（ただし、少々面倒です）。 Originヘッダーを確認する場合、evil.comのクライアント側コードからのリクエストは、CSRFトークンを使用する場合と同様にブロックする必要があります。ただし、evil.comのコードでOriginヘッダーを設定できる場合は除きます。 私は、W3C仕様がすべての最新のブラウザーで正しく実装されていると信頼できる場合（少なくとも、クロスオリジンリソースシェアリングのセキュリティを参照）、これはXHRでは不可能であることを知っています（できるでしょうか？） しかし、他の種類のリクエストについてはどうでしょう-例えばフォーム送信？script / img / ...タグをロードしますか？または、ページがリクエストを（合法的に）作成するために使用できる他の方法？それとも、いくつかの既知のJSハック？ 注：私は話していません ネイティブアプリケーション 操作されたブラウザ、 example.comのページのクロスサイトスクリプティングのバグ ...

103 javascript  security  cors  csrf 

vS2012を使用してmvc4 web apiプロジェクトを作成しました。以下のチュートリアルを使用して、クロスオリジンリソースシェアリングを解決しました。「http://blogs.msdn.com/b/carlosfigueira/archive/2012/07/02/cors-support-in-asp-net-web-api- rc-version.aspx」。それは正常に機能しており、クライアント側からサーバーにデータを正常にポストします。 その後、プロジェクトに認証を実装するために、次のチュートリアルを使用してOAuth2を実装しました。「http://community.codesmithtools.com/CodeSmith_Community/b/tdupont/archive/2011/03/18/oauth-2-0-for -mvc-two-legged-implementation.aspx」。これは、クライアント側でRequestTokenを取得するのに役立ちます。 しかし、クライアント側からデータを投稿すると、「XMLHttpRequestはhttp：//を読み込めません。リクエストヘッダーフィールドのContent-TypeはAccess-Control-Allow-Headersでは許可されていません」というエラーが発生しました 。 私のクライアントサイドのようなコードを見て、 function PostLogin() { var Emp = {}; Emp.UserName = $("#txtUserName").val(); var pass = $("#txtPassword").val(); var hash = $.sha1(RequestToken + pass); $('#txtPassword').val(hash); Emp.Password= hash; Emp.RequestToken=RequestToken; var createurl = "http://localhost:54/api/Login"; $.ajax({ type: "POST", url: createurl, contentType: "application/json; charset=utf-8", data: JSON.stringify(Emp), statusCode: { 200: …

102 jquery  asp.net-mvc-4  asp.net-web-api  oauth-2.0  cors 

CORSはAPIGatewayを介して設定され、Access-Control-Allow-Originヘッダーが設定されていますが、Chrome内でAJAXからAPIを呼び出そうとすると、次のエラーが発生します。 XMLHttpRequestはhttp://XXXXX.execute-api.us-west-2.amazonaws.com/beta/YYYYYを読み込めません。要求されたリソースに「Access-Control-Allow-Origin」ヘッダーがありません。したがって、オリジン 'null'はアクセスを許可されません。応答のHTTPステータスコードは403でした。 Postmanを介してURLを取得しようとしましたが、上記のヘッダーが正常に渡されたことが示されています。 そして、オプションの応答から： JSON-Pに戻さずにブラウザからAPIを呼び出すにはどうすればよいですか？

102 ajax  amazon-web-services  cors  aws-api-gateway 

クッキーをクロスオリジンで共有する方法は？より具体的には、Set-Cookieヘッダーをヘッダーと組み合わせて使用する方法はAccess-Control-Allow-Origin？ これが私の状況の説明です： localhost:4000でホストされているWebアプリで実行されているAPIのCookieを設定しようとしていますlocalhost:3000。 ブラウザで正しい応答ヘッダーを受信して​​いるようですが、残念ながら効果はありません。応答ヘッダーは次のとおりです。 HTTP / 1.1 200 OK Access-Control-Allow-Origin：http：// localhost：3000 変更：Origin、Accept-エンコーディング セットCookie：token = 0d522ba17e130d6d19eb9c25b7ac58387b798639f81ffe75bd449afbc3cc715d6b038e426adeac3316f0511dc7fae3f7; 最大年齢= 86400; ドメイン= localhost：4000; パス= /; Expires = 2017年9月19日火曜日21：11：36GMT; HttpOnly コンテンツタイプ：application / json; charset = utf-8 コンテンツの長さ：180 ETag：W / "b4-VNrmF4xNeHGeLrGehNZTQNwAaUQ" 日付：2017年9月18日月曜日21:11:36 GMT 接続：キープアライブ さらに、Response CookiesChromeの開発者ツールの[ネットワーク]タブを使用してトラフィックを検査すると、下にCookieが表示されます。それでも、の下の[アプリケーション]タブにCookieが設定されているのがわかりませんStorage/Cookies。CORSエラーは表示されないので、他に何かが足りないと思います。 助言がありますか？ 更新I： React-Reduxアプリのリクエストモジュールを使用/signinして、サーバー上のエンドポイントにリクエストを発行しています。サーバーにはエクスプレスを使用しています。 Expressサーバー： res.cookie（ 'token'、 'xxx-xxx-xxx'、{maxAge：86400000、httpOnly：true、domain： 'localhost：3000'}） ブラウザでのリクエスト： request.post（{uri： …

102 authentication  cookies  cors  http-headers  localhost 

パブリックディレクトリから静的ファイルを提供しながら、クロスドメインスクリプティングをサポートするnode.jsでWebサーバーを構築しようとしています。私はexpress.jsを使用していますが、クロスドメインスクリプティングを許可する方法がわかりません（Access-Control-Allow-Origin: *）。 私はこの投稿を見ましたが、役に立ちませんでした。 var express = require('express') , app = express.createServer(); app.get('/', function (req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Headers", "X-Requested-With"); next(); }); app.configure(function () { app.use(express.methodOverride()); app.use(express.bodyParser()); app.use(app.router); }); app.configure('development', function () { app.use(express.static(__dirname + '/public')); app.use(express.errorHandler({ dumpExceptions: true, showStack: true })); }); app.configure('production', function () { var oneYear …

101 node.js  express  cors  webserver  cross-domain 

私のサイトはhttpおよびhttpsプロトコルを使用しています。コンテンツには影響しません。私のサイトはjQuery ajax呼び出しを使用しており、ページの一部の領域も埋められます。 次に、すべてのajax呼び出しをhttps経由で実行したいと思います。（理由を聞かないでください:)）httpsプロトコルを使用したページでajaxリクエストが機能しています。httpプロトコルを使用したページでJavascriptエラーが発生する：制限付きURIへのアクセスが拒否されました これはクロスドメインの問題であることを知っています（実際、それはクロスプロトコルの問題です）、現在のページと同じプロトコルをajax呼び出しで使用する必要があることを知っています。 それでも、すべてのajax呼び出しをhttpsにして、httpで提供されたページで呼び出したいと思っています。これを達成するための回避策はありますか（いくつかのjson / proxyソリューション？）、または単に不可能ですか？

101 jquery  ajax  https  cors 

どうすればcorsを無効にできますか？何らかの理由で、許可されたオリジンとヘッダーをワイルドカード化しましたが、私のajaxリクエストは、オリジンが私のCORSポリシーで許可されていないとまだ不平を言っています。 私のアプリケーションコントローラ： class ApplicationController < ActionController::Base protect_from_forgery before_filter :current_user, :cors_preflight_check after_filter :cors_set_access_control_headers # For all responses in this controller, return the CORS access control headers. def cors_set_access_control_headers headers['Access-Control-Allow-Origin'] = '*' headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS' headers['Access-Control-Allow-Headers'] = '*' headers['Access-Control-Max-Age'] = "1728000" end # If this is a preflight OPTIONS request, …

100 ruby-on-rails  cors