我正在尝试在应用程序引擎中的两个应用程序之间进行x域请求。一方面,我有我的API,另一方面,有我的"客户端应用程序"。我读了很多关于CORS的书;我想我知道它是怎么工作的,但问题来了:它不工作。简单请求有效,但当我尝试执行非简单请求(使用凭据)时,问题就来了。我有这个代码来处理标题并允许CORS:
try:
_origin = self.request.headers['Origin']
except:
_origin = "http://myapp"
self.response.headers.add_header("Access-Control-Allow-Origin", _origin)
self.response.headers.add_header("Access-Control-Allow-Methods", "GET, POST, OPTIONS")
self.response.headers.add_header("Access-Control-Allow-Credentials", "true")
self.response.headers.add_header("Access-Control-Allow-Headers", "origin, x-requested-with, content-type, accept")
self.response.headers.add_header('Content-Type', 'application/json')
self.response.out.write( json.dumps( _response ) )
编辑:我在同一个域下处理这两个应用程序(http://app1.domain.com和http://app2.domain.com)。
由于我不能使用通配符进行凭据传输请求,因此我检测原点,并在该域的每个请求中设置允许原点。在我的客户端应用程序中,我有以下代码来进行http请求:
jQuery.extend( {
postJSON: function ( _url, _data, _callback) {
$.ajax({
cache: false,
crossDomain: true,
url: _url,
data: _data,
type: 'POST',
dataType: 'json',
xhrFields: {
withCredentials: true
},
headers : {
"x-requested-with" : "XMLHttpRequest"
},
success: _callback,
error: function() {
_msg = "<strong>Error: </strong> Error en la petición HTTP (nivel de protocolo).";
_error( _msg );
}
});
}
});
为了处理请求,我有以下方法:
@decorators.notAllowed
def get(self):
pass
@decorators.isNotLogged
@decorators.language
def post(self):
common._responseJSON( self, CU._doLogin( self ) )
def options(self):
common._responseJSON( self, CU._doLogin( self ) )
这是OPTIONS请求和响应:
Request URL:http://myapi/method
Request Method:OPTIONS
Status Code:200 OK
Request Headers
Accept:*/*
Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.3
Accept-Encoding:gzip,deflate,sdch
Accept-Language:es-ES,es;q=0.8
Access-Control-Request-Headers:origin, x-requested-with, content-type, accept
Access-Control-Request-Method:POST
Connection:keep-alive
Host:myapi
Origin:http://myapp
Referer:http://myapp/
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
Response Headersview source
Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:origin, x-requested-with, content-type, accept
Access-Control-Allow-Methods:GET, POST, OPTIONS
Access-Control-Allow-Origin:http://myapp
Cache-Control:no-cache
Content-Encoding:gzip
Content-Length:114
Content-Type:application/json
Content-Type:text/html; charset=utf-8
Date:Fri, 16 Nov 2012 11:31:40 GMT
Server:Google Frontend
Vary:Accept-Encoding
这是HTTP POST请求:
Accept:application/json, text/javascript, */*; q=0.01
Content-Type:application/json; charset=UTF-8
Origin:http://myapp
Referer:http://myapp
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
x-requested-with:XMLHttpRequest
但当浏览器尝试执行POST请求时,它失败了:
XMLHttpRequest cannot load http://myapi/method/. Origin http://myapp is not allowed by Access-Control-Allow-Origin.
知道吗?我被这个问题弄疯了。。。在OPTIONS http请求中我要做什么?也许我没有以正确的方式处理它…://
提前谢谢。
我找到了解决方案!!这太简单了;我觉得有点傻。。。如果您查看代码,您将在一些方法处理程序之前看到一些装饰器。这就是问题所在:有时我会通过装饰器将内容发送到浏览器。并且此内容没有Allow-Control-*标头。这就是为什么它有时失败,有时不失败的原因(当装饰器回复时失败)
我已经在所有发送内容的装饰器中配置了头,它运行良好:-)。感谢大家的帮助,真的!!
我刚刚在Google API中遇到了同样的错误。由于只有3或4天,所有对Google API的CORS请求都会失败,如果它们包含x-requested-with:XMLHttpRequest标头,则会导致Access Control Allow Origin不允许">Origin[…]"错误。它一直工作到最后几天。
您可能对应用程序引擎CORS请求有同样的问题。尝试删除以下行:
headers : {
"x-requested-with" : "XMLHttpRequest"
},