Không có tiêu đề 'Access-Control-Allow-Origin' có trên tài nguyên được yêu cầu. Nguồn gốc '…' do đó không được phép truy cập

Tôi đang sử dụng .htaccess để viết lại url và tôi đã sử dụng thẻ cơ sở html để làm cho nó hoạt động.

Bây giờ, khi tôi cố gắng thực hiện một yêu cầu ajax, tôi gặp lỗi sau:

XMLHttpRequest không thể tải http://www.example.com/login.php. Không có tiêu đề 'Access-Control-Allow-Origin' có trên tài nguyên được yêu cầu. Nguồn gốc ' http://example.com' do đó không được phép truy cập.

Sử dụng addHeaderThay vì sử dụng setHeaderphương pháp,

response.addHeader("Access-Control-Allow-Origin", "*");

*ở dòng trên sẽ cho phép access to all domains.

Để cho phép access to specific domain only:

response.addHeader("Access-Control-Allow-Origin", "http://www.example.com");

Kiểm tra cái này blog post.

Tại sao lỗi được phát sinh:

Mã JavaScript được giới hạn bởi các chính sách cùng nguồn gốc , có nghĩa là, từ một trang tại www.example.com, bạn chỉ có thể thực hiện (AJAX) yêu cầu các dịch vụ nằm ở chính xác cùng một tên miền, trong trường hợp đó, chính xác www.example.com( không example.com - mà không www- hay whatever.example.com).

Trong trường hợp của bạn, mã Ajax của bạn đang cố gắng truy cập một dịch vụ http://wordicious.comtừ một trang có địa chỉ tại http://www.wordicious.com.

Mặc dù rất giống nhau nhưng chúng không cùng tên miền. Và khi chúng không ở trên cùng một miền, yêu cầu sẽ chỉ thành công nếu quá trình phản ứng của mục tiêu có chứa Access-Control-Allow-Origintiêu đề trong đó.

Vì trang / dịch vụ của bạn tại http://wordicious.comchưa bao giờ được định cấu hình để hiển thị tiêu đề như vậy, thông báo lỗi đó sẽ được hiển thị.

Giải pháp:

Như đã nói, nguồn gốc (nơi trang với JavaScript là tại) và mục tiêu (nơi Javascript đang cố gắng để đạt được) lĩnh phải là chính xác như vậy.

Trường hợp của bạn có vẻ giống như một lỗi đánh máy. Có vẻ như http://wordicious.comvà http://www.wordicious.comthực sự là cùng một máy chủ / miền. Vì vậy, để khắc phục, gõ mục tiêu và nguồn gốc như nhau: làm cho bạn Ajax trang yêu cầu mã / dịch vụ cho http://www.wordicious.comkhônghttp://wordicious.com . (Có thể đặt URL mục tiêu một cách tương đối, như '/login.php', không có tên miền).

Một lưu ý chung hơn:

Nếu vấn đề không phải là lỗi chính tả như câu hỏi này, giải pháp sẽ là thêm Access-Control-Allow-Originmiền đích . Để thêm nó, tất nhiên, phụ thuộc vào máy chủ / ngôn ngữ đằng sau địa chỉ đó. Đôi khi một biến cấu hình trong công cụ sẽ thực hiện thủ thuật. Những lần khác, bạn sẽ phải tự thêm các tiêu đề thông qua mã.

Đối với máy chủ .NET có thể cấu hình điều này trong web.config như hình dưới đây

 <system.webServer>
   <httpProtocol>
     <customHeaders>
       <add name="Access-Control-Allow-Origin" value="your_clientside_websiteurl" />
     </customHeaders>
   </httpProtocol>
 </system.webServer>

Ví dụ, giả sử, nếu miền máy chủ là http://live.makemypublication.com và máy khách là http://www.makemypublication.com thì hãy cấu hình trong web.config của máy chủ như bên dưới

 <system.webServer>
   <httpProtocol>
     <customHeaders>
       <add name="Access-Control-Allow-Origin" value="http://www.makemypublication.com" />
     </customHeaders>
  </httpProtocol>
 </system.webServer>

Nếu bạn nhận được thông báo lỗi này từ trình duyệt:

Không có tiêu đề 'Access-Control-Allow-Origin' có trên tài nguyên được yêu cầu. Nguồn gốc '…' do đó không được phép truy cập

khi bạn đang cố gắng thực hiện một yêu cầu Ajax POST / GET tới một máy chủ từ xa nằm ngoài tầm kiểm soát của bạn, hãy quên cách khắc phục đơn giản này:

<?php header('Access-Control-Allow-Origin: *'); ?>

Những gì bạn thực sự cần làm, đặc biệt nếu bạn chỉ sử dụng JavaScript để thực hiện yêu cầu Ajax, là một proxy nội bộ nhận truy vấn của bạn và gửi nó đến máy chủ từ xa.

Đầu tiên trong JavaScript của bạn, hãy thực hiện một lệnh gọi Ajax tới máy chủ của riêng bạn, giống như:

$.ajax({
    url: yourserver.com/controller/proxy.php,
    async:false,
    type: "POST",
    dataType: "json",
    data: data,
    success: function (result) {
        JSON.parse(result);
    },
    error: function (xhr, ajaxOptions, thrownError) {
        console.log(xhr);
    }
});

Sau đó, tạo một tệp PHP đơn giản có tên proxy.php để bọc dữ liệu POST của bạn và nối chúng vào máy chủ URL từ xa dưới dạng tham số. Tôi cung cấp cho bạn một ví dụ về cách tôi vượt qua vấn đề này với API tìm kiếm Khách sạn của Expedia:

if (isset($_POST)) {
  $apiKey = $_POST['apiKey'];
  $cid = $_POST['cid'];
  $minorRev = 99;

  $url = 'http://api.ean.com/ean-services/rs/hotel/v3/list?' . 'cid='. $cid . '&' . 'minorRev=' . $minorRev . '&' . 'apiKey=' . $apiKey;

  echo json_encode(file_get_contents($url));
 }

Bằng cách thực hiện:

 echo json_encode(file_get_contents($url));

Bạn chỉ đang thực hiện cùng một truy vấn nhưng ở phía máy chủ và sau đó, nó sẽ hoạt động tốt.

Bạn cần thêm cái này vào đầu trang php "login.php"

<?php header('Access-Control-Allow-Origin: *'); ?>

bạn phải đặt các khóa / giá trị tiêu đề trong phản hồi của phương thức tùy chọn. ví dụ: nếu bạn có tài nguyên tại http://mydomain.com/myresource thì trong mã máy chủ của bạn, bạn viết

//response handler
void handleRequest(Request request, Response response) {
    if(request.method == "OPTIONS") {
       response.setHeader("Access-Control-Allow-Origin","http://clientDomain.com")
       response.setHeader("Access-Control-Allow-Methods", "GET,POST,PUT,DELETE,OPTIONS");
       response.setHeader("Access-Control-Allow-Headers", "Content-Type");
    }



}

Về cơ bản thay đổi phản hồi tiêu đề API bằng cách thêm các tham số bổ sung sau.

Access-Control-Allow-Credentials: true

Access-Control-Allow-Origin: *

Nhưng đây không phải là giải pháp tốt khi nói đến bảo mật

Cách giải quyết là sử dụng proxy ngược chạy trên máy chủ 'nguồn' của bạn và chuyển tiếp đến máy chủ mục tiêu của bạn, chẳng hạn như Fiddler:

Liên kết tại đây: http://docs.telerik.com/fiddler/configure-fiddler/tasks/usefiddlerasreverseproxy

Hoặc một proxy ngược của Apache ...

Thêm cái này vào tệp PHP hoặc bộ điều khiển chính của bạn

header("Access-Control-Allow-Origin: http://localhost:9000");

Giải quyết bằng mục nhập dưới đây trong httpd.conf

#CORS Issue
Header set X-Content-Type-Options "nosniff"
Header always set Access-Control-Max-Age 1728000
Header always set Access-Control-Allow-Origin: "*"
Header always set Access-Control-Allow-Methods: "GET,POST,OPTIONS,DELETE,PUT,PATCH"
Header always set Access-Control-Allow-Headers: "DNT,X-CustomHeader,Keep-Alive,Content-Type,Origin,Authentication,Authorization,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control"
Header always set Access-Control-Allow-Credentials true

#CORS REWRITE
RewriteEngine On                  
RewriteCond %{REQUEST_METHOD} OPTIONS 
#RewriteRule ^(.*)$ $1 [R=200,L]
RewriteRule ^(.*)$ $1 [R=200,L,E=HTTP_ORIGIN:%{HTTP:ORIGIN}]]

Yêu cầu tìm Hàm được sử dụng trong XMLHTTPREQUEST trong Javascript để thiết lập tiêu đề yêu cầu.

...

xmlHttp.setRequestHeader("Access-Control-Allow-Origin", "http://www.example.com");
...
</script>

Tham khảo: https://developer.mozilla.org/en-US/docs/Web/API/XMLHttpRequest/setRequestHeader