Происхождение не разрешено Access-Control-Allow-Origin

Я делаю Ajax.requestна удаленный сервер PHP в приложении Sencha Touch 2 (завернутый в PhoneGap ).

Ответ от сервера следующий:

XMLHttpRequest не может загрузить http://nqatalog.negroesquisso.pt/login.php . Происхождение http://localhost:8888не разрешено Access-Control-Allow-Origin.

Как я могу решить эту проблему?

Недавно я написал статью по этому вопросу, Cross Domain AJAX .

Самый простой способ справиться с этим, если у вас есть контроль над отвечающим сервером, это добавить заголовок ответа для:

Access-Control-Allow-Origin: *

Это позволит междоменный Ajax . В PHP вы захотите изменить ответ следующим образом:

<?php header('Access-Control-Allow-Origin: *'); ?>

Вы можете просто поместить Header set Access-Control-Allow-Origin *настройку в конфигурацию Apache или в файл htaccess.

Следует отметить, что это эффективно отключает защиту CORS, которая, скорее всего, подвергает ваших пользователей атаке . Если вы не знаете, что вам конкретно нужно использовать подстановочный знак, вы не должны его использовать, а вместо этого вы должны внести в белый список ваш конкретный домен:

<?php header('Access-Control-Allow-Origin: http://example.com') ?>

Если вы не имеете контроля над сервером, вы можете просто добавить этот аргумент для вашей пусковой установки Chrome: --disable-web-security.

Обратите внимание, что я бы не использовал это для обычного «веб-серфинга». Для справки см. Этот пост: Отключить ту же политику происхождения в Chrome .

Когда вы используете PhoneGap для фактической сборки приложения и загрузки его на устройство, это не будет проблемой.

Если вы используете Apache, просто добавьте:

<ifModule mod_headers.c>
    Header set Access-Control-Allow-Origin: *
</ifModule>

в вашей конфигурации. Это приведет к тому, что все ответы с вашего веб-сервера будут доступны с любого другого сайта в Интернете. Если вы намерены разрешить использование служб на вашем хосте только определенному серверу, вы можете заменить *его URL-адресом исходного сервера:

Header set Access-Control-Allow-Origin: http://my.origin.host

Если у вас есть приложение ASP.NET / ASP.NET MVC , вы можете включить этот заголовок через файл Web.config:

<system.webServer>
  ...

    <httpProtocol>
        <customHeaders>
            <!-- Enable Cross Domain AJAX calls -->
            <remove name="Access-Control-Allow-Origin" />
            <add name="Access-Control-Allow-Origin" value="*" />
        </customHeaders>
    </httpProtocol>
</system.webServer>

Это был первый вопрос / ответ, который возник у меня при попытке решить ту же проблему с использованием ASP.NET MVC в качестве источника моих данных. Я понимаю, что это не решает вопрос PHP , но это достаточно связано, чтобы быть ценным.

Я использую ASP.NET MVC. Сообщение в блоге от Грега Бранта работало на меня. В конечном итоге вы создаете атрибут, [HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]который вы можете добавить к действиям контроллера.

Например:

public class HttpHeaderAttribute : ActionFilterAttribute
{
    public string Name { get; set; }
    public string Value { get; set; }
    public HttpHeaderAttribute(string name, string value)
    {
        Name = name;
        Value = value;
    }

    public override void OnResultExecuted(ResultExecutedContext filterContext)
    {
        filterContext.HttpContext.Response.AppendHeader(Name, Value);
        base.OnResultExecuted(filterContext);
    }
}

И затем использовать его с:

[HttpHeaderAttribute("Access-Control-Allow-Origin", "*")]
public ActionResult MyVeryAvailableAction(string id)
{
    return Json( "Some public result" );
}

Так как Мэтт Момбреа подходит для серверной части, вы можете столкнуться с другой проблемой - отказом из белого списка.

Вы должны настроить свой phonegap.plist. (Я использую старую версию телефонного зазора)

Для кордовы могут быть некоторые изменения в именовании и каталоге. Но шаги должны быть в основном одинаковыми.

Сначала выберите Вспомогательные файлы> PhoneGap.plist

затем в разделе "Внешние хосты"

Добавьте запись со значением, возможно, " http://nqatalog.negroesquisso.pt ", которое я использую * только для целей отладки.

Это может быть удобно для тех, кому нужно исключение для версий реферера как с www, так и без www:

 $referrer = $_SERVER['HTTP_REFERER'];
 $parts = parse_url($referrer);
 $domain = $parts['host'];

 if($domain == 'google.com')
 {
         header('Access-Control-Allow-Origin: http://google.com');
 }
 else if($domain == 'www.google.com')
 {
         header('Access-Control-Allow-Origin: http://www.google.com');
 }

Я дам вам простое решение для этого. В моем случае у меня нет доступа к серверу. В этом случае вы можете изменить политику безопасности в браузере Google Chrome, чтобы разрешить Access-Control-Allow-Origin. Это очень просто:

1. Создать ярлык браузера Chrome
2. Щелкните правой кнопкой мыши значок ярлыка -> Свойства -> Ярлык -> Цель

Простая вставка "C:\Program Files\Google\Chrome\Application\chrome.exe" --allow-file-access-from-files --disable-web-security.

Расположение может отличаться. Теперь откройте Chrome, нажав на этот ярлык.

Я сталкивался с этим несколько раз при работе с различными API. Часто для быстрого исправления добавьте "& callback =?" до конца строки. Иногда амперсанд должен быть символьным кодом, а иногда "?": "? Callback =?" (см. Использование API Forecast.io с jQuery )

Если вы пишете расширение Chrome и получить эту ошибку, то убедитесь , что вы добавили базовый URL в API, чтобы ваш manifest.json«s разрешения блока , например:

"permissions": [
    "https://itunes.apple.com/"
]

Это из -за политики того же происхождения . Смотрите больше в Mozilla Developer Network или Википедии .

По сути, в вашем примере вам нужно загружать http://nqatalog.negroesquisso.pt/login.phpстраницу только из nqatalog.negroesquisso.pt, а не из localhost.

если вы находитесь в Apache, просто добавьте файл .htaccess в ваш каталог со следующим содержимым:

Header set Access-Control-Allow-Origin: *

Header set Access-Control-Allow-Headers: content-type

Header set Access-Control-Allow-Methods: *

В Ruby on Rails вы можете сделать в контроллере:

headers['Access-Control-Allow-Origin'] = '*'

Вы можете заставить его работать без модификации сервера, добавив заголовок Access-Control-Allow-Origin: *в ответы HTTP OPTIONS.

В Chrome используйте это расширение . Если вы находитесь на Mozilla, проверьте этот ответ .

Если вы получите это в Angular.js, то убедитесь, что вы экранировали свой номер порта следующим образом:

var Project = $resource(
    'http://localhost\\:5648/api/...', {'a':'b'}, {
        update: { method: 'PUT' }
    }
);

Смотрите здесь для получения дополнительной информации об этом.

У нас также есть такая же проблема с приложением phonegap, протестированным в Chrome. Одна машина Windows, которую мы используем ниже пакетного файла каждый день перед открытием Chrome. Помните, что перед запуском вам нужно очистить весь экземпляр Chrome из диспетчера задач, или вы можете выбрать Chrome, чтобы не запускать его в фоновом режиме.

BATCH: (используйте cmd)

cd D:\Program Files (x86)\Google\Chrome\Application\chrome.exe --disable-web-security

В Руби Синатре

response['Access-Control-Allow-Origin'] = '*' 

для всех или

response['Access-Control-Allow-Origin'] = 'http://yourdomain.name' 

Когда вы получите запрос, вы можете

var origin = (req.headers.origin || "*");

чем когда вы должны ответить, пойти с чем-то вроде этого:

res.writeHead(
    206,
    {
        'Access-Control-Allow-Credentials': true,
        'Access-Control-Allow-Origin': origin,
    }
);