Как вы можете отлаживать запросы CORS, используя cURL? До сих пор я не мог найти способ «смоделировать» предполетный запрос.
Вот как вы можете отлаживать запросы CORS, используя curl.
Отправка обычного запроса CORS с помощью cUrl:
curl -H "Origin: http://example.com" --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
-H "Origin: http://example.com"
Флаг является домен третьей стороны делает запрос. Замените в любом своем домене.
В --verbose
флаг выводит весь ответ , так что вы можете увидеть заголовки запроса и ответа.
URL-адрес, который я использую выше, представляет собой пример запроса к API Google, который поддерживает CORS, но вы можете заменить любой URL-адрес, который вы тестируете.
Ответ должен включать Access-Control-Allow-Origin
заголовок.
Отправка предварительного запроса с помощью cUrl:
curl -H "Origin: http://example.com" \
-H "Access-Control-Request-Method: POST" \
-H "Access-Control-Request-Headers: X-Requested-With" \
-X OPTIONS --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
Это похоже на обычный запрос CORS с несколькими дополнениями:
Эти -H
флаги отправить дополнительные предполетных заголовки запроса к серверу
-X OPTIONS
Флаг указывает на то, что это запрос HTTP OPTIONS.
Если предполетной запрос успешен, ответ должен включать в себя Access-Control-Allow-Origin
, Access-Control-Allow-Methods
и Access-Control-Allow-Headers
заголовки ответа. Если предварительный запрос не был успешным, эти заголовки не должны отображаться, иначе ответ HTTP не будет 200.
Вы также можете указать дополнительные заголовки, например User-Agent
, используя -H
флаг.
--verbose
опцию, как указано выше.--head
:curl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\=
curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file
.Обновленный ответ, который охватывает большинство случаев
Access-Control-Allow-*
то ваш ресурс поддерживает CORS.Обоснование альтернативного ответа
Я задаю этот вопрос время от времени, и принятый ответ - это никогда не то, что мне нужно. Сначала печатается тело ответа, в котором много текста. Добавление
--head
выводов только заголовков. Во-вторых, при тестировании URL-адресов S3 нам нужно предоставить дополнительный заголовок-H "Access-Control-Request-Method: GET"
.Надеюсь, это сэкономит время.
источник
--head
что curl распечатывает заголовки, но также заставляет curl делатьHEAD
запрос, а не aGET
. В зависимости от того, что вы тестируете, вы можете сделатьGET
запрос. Вы можете сделать это, добавив--IXGET
.Скрипт bash "corstest" ниже работает для меня. Это основано на комментарии июня выше.
использование
Corstest [-v] URL
Примеры
положительный результат отображается зеленым цветом
отрицательный результат отображается красным и синим
опция -v покажет полные заголовки curl
corstest
источник
Похоже, только это работает:
curl -I http://example.com
Ищите
Access-Control-Allow-Origin: *
в возвращаемых заголовкахисточник
*
это не работает, если учетные данные, такие как cookie, должны быть представлены в запросе API. В этом случае вAccess-Control-Allow-Origin
ответе также необходимо указать полное доменное имяAccess-Control-Allow-Credentials: true
. Запросы на учетные данные не были определены OP как требование, поэтому*
работают для любых неаутентифицированных запросов.