কর্স: শংসাপত্রের পতাকাটি সত্য হলে অ্যাক্সেস-কন্ট্রোল-মঞ্জুরি-উত্সে ওয়াইল্ডকার্ড ব্যবহার করতে পারে না

আমি জড়িত একটি সেটআপ আছে

সম্মুখভাগের সার্ভার (নোড.জেএস, ডোমেন: লোকালহোস্ট: 3000) <---> ব্যাকএন্ড (জাজানো, অ্যাজাক্স, ডোমেন: লোকালহোস্ট: 8000)

ব্রাউজার <- ওয়েব অ্যাপ <- নোড.জেএস (অ্যাপ্লিকেশন পরিবেশন করুন)

ব্রাউজার (ওয়েব অ্যাপ্লিকেশন) -> অ্যাজাক্স -> জ্যাঙ্গো (এজাক্স পোস্টের অনুরোধগুলি পরিবেশন করুন)

এখন, এখানে আমার সমস্যাটি সিওআরএস সেটআপের সাথে রয়েছে যা ওয়েব অ্যাপ ব্যাকএন্ড সার্ভারে অ্যাজাক্স কলগুলি করতে ব্যবহার করে। ক্রোমে, আমি পেতে থাকি

শংসাপত্রের পতাকাটি সত্য হলে অ্যাক্সেস-কন্ট্রোল-মঞ্জুরি-উত্সে ওয়াইল্ডকার্ড ব্যবহার করতে পারবেন না।

ফায়ারফক্সেও কাজ করে না।

আমার নোড.জেএস সেটআপটি হ'ল:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

এবং জ্যাঙ্গোতে আমি এই মিডলওয়্যারগুলিও সাথে ব্যবহার করছি

ওয়েব অ্যাপ্লিকেশন অনুরোধ করে:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

সুতরাং, ওয়েব অ্যাপ্লিকেশন প্রেরণের অনুরোধ শিরোনামগুলি দেখে মনে হচ্ছে:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

এবং এখানে প্রতিক্রিয়া শিরোনাম:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

কোথায় আমি ভুল যাচ্ছি?!

সম্পাদনা 1: আমি ব্যবহার করছি chrome --disable-web-security, কিন্তু এখন জিনিসগুলি আসলে কাজ করতে চায়।

সম্পাদনা 2: উত্তর:

সুতরাং, আমার জন্য django-cors-headersকনফিগার সমাধান :

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

এটি সুরক্ষার একটি অংশ, আপনি এটি করতে পারবেন না। আপনি যদি শংসাপত্রের অনুমতি দিতে চান তবে আপনার Access-Control-Allow-Originঅবশ্যই ব্যবহার করা উচিত নয় *। আপনাকে সঠিক প্রোটোকল + ডোমেন + পোর্ট নির্দিষ্ট করতে হবে। রেফারেন্সের জন্য এই প্রশ্নগুলি দেখুন:

1. অ্যাক্সেস-কন্ট্রোল-মঞ্জুরি-উত্সের ওয়াইল্ডকার্ড সাবডোমেন, পোর্ট এবং প্রোটোকল
2. শংসাপত্রগুলির সাথে ক্রস অরিজিন রিসোর্স ভাগ করে নেওয়া

এছাড়াও *খুব অনুমতিযোগ্য এবং শংসাপত্রের ব্যবহারকে পরাস্ত করবে। সুতরাং সেট http://localhost:3000বা http://localhost:8000অনুমতি মেনু শিরোনাম হিসাবে।

আপনি যদি CORS মিডলওয়্যার ব্যবহার করছেন এবং আপনি withCredentialবুলিয়ান সত্য প্রেরণ করতে চান , আপনি CORS এর মতো কনফিগার করতে পারেন:

var cors = require('cors');    
app.use(cors({credentials: true, origin: 'http://localhost:3000'}));

আপনি ব্যবহার করে থাকেন expressআপনি ব্যবহার করতে পারেন Cors আপনার মিডলওয়্যার লেখার তাই পরিবর্তে মত CORS করার অনুমতি প্যাকেজ;

var express = require('express')
, cors = require('cors')
, app = express();

app.use(cors());

app.get(function(req,res){ 
  res.send('hello');
});

এটি চেষ্টা করুন:

const cors = require('cors')

const corsOptions = {
    origin: 'http://localhost:4200',
    credentials: true,

}
app.use(cors(corsOptions));

আপনি যদি সমস্ত উত্সের অনুমতি দিতে চান এবং শংসাপত্রগুলি সত্য রাখতে চান তবে এটি আমার পক্ষে কাজ করেছে:

app.use(cors({
  origin: function(origin, callback){
    return callback(null, true);
  },
  optionsSuccessStatus: 200,
  credentials: true
}));

(সম্পাদনা) পূর্বে পুনরুদ্ধার করা অ্যাড-অন আর উপলভ্য নয়, আপনি এটি অন্য একটি চেষ্টা করতে পারেন

ক্রোমে বিকাশের উদ্দেশ্যে, এই অ্যাডটি ইনস্টল করা সেই নির্দিষ্ট ত্রুটি থেকে মুক্তি পাবে:

Access to XMLHttpRequest at 'http://192.168.1.42:8080/sockjs-node/info?t=1546163388687' 
from origin 'http://localhost:8080' has been blocked by CORS policy: The value of the 
'Access-Control-Allow-Origin' header in the response must not be the wildcard '*' 
when the request's credentials mode is 'include'. The credentials mode of requests 
initiated by the XMLHttpRequest is controlled by the withCredentials attribute.

ইনস্টল করার পরে, আপনি আপনার URL প্যাটার্ন যোগ নিশ্চিত Intercepted URLsaddon এর (ক্লিক করে CORS , সবুজ বা লাল) আইকন এবং উপযুক্ত পাঠ্যবাক্স ভর্তি। এখানে যুক্ত করার একটি উদাহরণ URL প্যাটার্ন যা এর সাথে কাজ করবে http://localhost:8080তা হ'ল:*://*

এটি আমার পক্ষে উন্নয়নের ক্ষেত্রে কাজ করে তবে আমি পরামর্শ দিতে পারি না যে উত্পাদনে, এটি কাজটি করার একটি ভিন্ন উপায় যা এখনও উল্লেখ করা হয়নি তবে সম্ভবত সেরা নয় not যাইহোক এখানে যায়:

আপনি অনুরোধটি থেকে উত্সটি পেতে পারেন, তারপরে প্রতিক্রিয়া শিরোনামে এটি ব্যবহার করুন। এক্সপ্রেসে এটি কেমন দেখাচ্ছে:

app.use(function(req, res, next) {
  res.header('Access-Control-Allow-Origin', req.header('origin') );
  next();
});

আপনার অজগর সেটআপটির সাথে এটি দেখতে কেমন তা আমি জানি না তবে এটি অনুবাদ করা সহজ হওয়া উচিত।