返回

浏览器报前端报错:has been blocked by CORS policy?了解解决办法

前端

跨域资源共享(CORS)概览

在互联网世界中,网站和应用程序经常需要访问来自不同服务器的数据和资源。然而,出于安全考虑,浏览器会限制对跨域资源的访问,以防止恶意网站窃取敏感信息。为了解决这一问题,跨域资源共享(CORS)应运而生。

CORS 是一种浏览器安全机制,允许不同源的网站或应用程序在特定条件下共享资源。当浏览器向另一个源发送请求时,它会首先发送一个预检请求,询问目标源是否允许该请求。如果目标源允许,它将发送一个预检响应,其中包含允许或拒绝该请求的指令。如果浏览器收到允许的预检响应,则会继续发送实际请求。否则,浏览器会阻止该请求,并向用户显示错误消息。

“前端报错:has been blocked by CORS policy”错误原因

当浏览器收到禁止的预检响应时,就会显示“前端报错:has been blocked by CORS policy”错误消息。这通常是由于目标源的服务器端配置不正确造成的。服务器端需要在响应头中添加适当的 CORS 头信息,以允许浏览器访问其资源。

解决“前端报错:has been blocked by CORS policy”错误的步骤

要解决“前端报错:has been blocked by CORS policy”错误,可以按照以下步骤操作:

  1. 检查服务器端配置: 确保服务器端已添加适当的 CORS 头信息。通常情况下,需要添加以下头信息:

    • Access-Control-Allow-Origin: *(允许所有来源)或指定允许的来源(例如,Access-Control-Allow-Origin: https://example.com
    • Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS(允许的请求方法)
    • Access-Control-Allow-Headers: Content-Type, Authorization(允许的请求头)
    • Access-Control-Max-Age: 3600(预检请求的有效期,单位为秒)

  2. 检查浏览器端配置: 确保浏览器已启用 CORS。

  3. 检查其他可能原因: 如果服务器端和浏览器端配置都正确,但仍然出现“前端报错:has been blocked by CORS policy”错误,则可能存在其他问题,例如代理服务器配置不正确或网络连接问题。

代码示例

在 Node.js 服务器中添加 CORS 头信息:

app.use((req, res, next) => {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
  res.header("Access-Control-Allow-Headers", "Content-Type, Authorization");
  res.header("Access-Control-Max-Age", 3600);
  next();
});

在 Python Flask 服务器中添加 CORS 头信息:

@app.after_request
def after_request(response):
  response.headers.add("Access-Control-Allow-Origin", "*")
  response.headers.add("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS")
  response.headers.add("Access-Control-Allow-Headers", "Content-Type, Authorization")
  response.headers.add("Access-Control-Max-Age", 3600)
  return response

常见问题解答

  1. 什么是 CORS 预检请求?

    CORS 预检请求是一个特殊类型的 HTTP 请求,用于确定目标源是否允许实际请求。

  2. 如何禁用 CORS?

    在服务器端,可以通过不添加 CORS 头信息来禁用 CORS。在浏览器端,可以使用浏览器的开发者工具禁用 CORS。

  3. 为什么我仍然收到“前端报错:has been blocked by CORS policy”错误?

    这可能是由于服务器端配置不正确、浏览器端配置不正确或其他原因造成的。

  4. 如何允许来自特定源的跨域请求?

    在服务器端,可以通过在 Access-Control-Allow-Origin 头信息中指定特定源来允许来自特定源的跨域请求。

  5. CORS 有哪些限制?

    CORS 有以下限制:

    • 只允许在简单请求(例如,GET、POST、HEAD)中发送 cookie。
    • 预检请求不能携带数据。
    • 不支持对文件类型的跨域请求。