为什么将 CORS 标头添加到 OPTIONS 路由不允许浏览器访问我的 API？

Question

我正在尝试在使用 Express.js Web 框架的 Node.js 应用程序中支持 CORS。我已阅读Google 群组讨论，了解如何处理此问题，并阅读一些有关 CORS 如何工作的文章。首先，我这样做了（代码是用 CoffeeScript 语法编写的）：

app.options "*", (req, res) ->
  res.header 'Access-Control-Allow-Origin', '*'
  res.header 'Access-Control-Allow-Credentials', true
  # try: 'POST, GET, PUT, DELETE, OPTIONS'
  res.header 'Access-Control-Allow-Methods', 'GET, OPTIONS'
  # try: 'X-Requested-With, X-HTTP-Method-Override, Content-Type, Accept'
  res.header 'Access-Control-Allow-Headers', 'Content-Type'
  # ...

它似乎不起作用。我的浏览器（Chrome）似乎没有发送初始 OPTIONS 请求。当我刚刚更新资源块时，我需要向以下位置提交跨域 GET 请求：

app.get "/somethingelse", (req, res) ->
  # ...
  res.header 'Access-Control-Allow-Origin', '*'
  res.header 'Access-Control-Allow-Credentials', true
  res.header 'Access-Control-Allow-Methods', 'POST, GET, PUT, DELETE, OPTIONS'
  res.header 'Access-Control-Allow-Headers', 'Content-Type'
  # ...

它有效（在 Chrome 中）。这也适用于 Safari。

我读过...

在实现 CORS 的浏览器中，每个跨源 GET 或 POST 请求之前都会有一个 OPTIONS 请求，用于检查 GET 或 POST 是否正常。

所以我的主要问题是，为什么我的情况似乎没有发生这种情况？为什么我的 app.options 块没有被调用？为什么我需要在主 app.get 块中设置标头？

Answer 1

我发现最简单的方法是使用 node.js 包 cors。最简单的用法是：

var cors = require('cors')

var app = express()
app.use(cors())

当然有很多方法可以根据您的需要配置行为；上面链接的页面显示了许多示例。

Answer 2

尝试将控制权传递给下一个匹配的路由。如果 Express 首先匹配 app.get 路由，那么它不会继续到选项路由，除非你这样做（注意 next 的使用）：

app.get('somethingelse', (req, res, next) => {
  //..set headers etc.
        
  next();
});

在组织 CORS 内容方面，我将其放入一个对我来说效果很好的中间件：

// CORS middleware
const allowCrossDomain = (req, res, next) => {
  res.header(`Access-Control-Allow-Origin`, `example.com`);
  res.header(`Access-Control-Allow-Methods`, `GET,PUT,POST,DELETE`);
  res.header(`Access-Control-Allow-Headers`, `Content-Type`);
  next();
};

//...

app.configure(() => {
  app.use(express.bodyParser());
  app.use(express.cookieParser());
  app.use(express.session({ secret: `cool beans` }));
  app.use(express.methodOverride());
  // CORS middleware
  app.use(allowCrossDomain);
  app.use(app.router);
  app.use(express.static(`public`));
});

Answer 3

为了回答您的主要问题，CORS 规范仅要求 OPTIONS 调用位于 POST 或 GET 之前（如果 POST 或 GET 中包含任何非简单内容或标头）。

需要 CORS 预检请求（OPTIONS 调用）的 Content-Type 是除以下内容之外的任何 Content-Type：

1. application/x-www-form-urlencoded
2. multipart/form-data
3. text/plain

除了上面列出的内容类型之外的任何其他内容类型都将触发预检请求。

至于标头，除了以下内容之外的任何请求标头都将触发预检请求：

1. Accept
2. Accept-Language
3. Content-Language
4. 内容类型
5. DPR
6. 保存数据
7. 视口宽度
8. 宽度

任何其他请求标头都会触发预检 要求。

因此，您可以添加一个自定义标头，例如：x-Trigger: CORS，这应该会触发飞行前请求并命中 OPTIONS 块。

请参阅 MDN Web API 参考 - CORS 预检请求

Answer 4

保持相同的路由理念。我使用此代码：

app.all('/*', function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "X-Requested-With");
  next();
});

类似于 http://enable-cors.org/server_expressjs.html 示例

Answer 5

执行

npm install cors --save

并将这些行添加到您的请求所在的主文件中（将其保留在任何路由之前）。

const cors = require('cors');
const express = require('express');
let app = express();
app.use(cors());
app.options('*', cors());

Answer 6

我做了一个比较完整的中间件，适合express或者connect。它支持用于预检检查的OPTIONS请求。请注意，它将允许 CORS 访问任何内容，如果您想限制访问，您可能需要进行一些检查。

app.use(function(req, res, next) {
    var oneof = false;
    if(req.headers.origin) {
        res.header('Access-Control-Allow-Origin', req.headers.origin);
        oneof = true;
    }
    if(req.headers['access-control-request-method']) {
        res.header('Access-Control-Allow-Methods', req.headers['access-control-request-method']);
        oneof = true;
    }
    if(req.headers['access-control-request-headers']) {
        res.header('Access-Control-Allow-Headers', req.headers['access-control-request-headers']);
        oneof = true;
    }
    if(oneof) {
        res.header('Access-Control-Max-Age', 60 * 60 * 24 * 365);
    }

    // intercept OPTIONS method
    if (oneof && req.method == 'OPTIONS') {
        res.send(200);
    }
    else {
        next();
    }
});

Answer 7

做这样的事情：

app.use(function(req, res, next) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
});

Answer 8

安装expressjs的cors模块。您可以按照以下步骤操作>

安装

npm install cors

简单使用（启用所有 CORS 请求）

var express = require('express');
var cors = require('cors');
var app = express();
app.use(cors());

有关更多详细信息，请访问 https:// github.com/expressjs/cors

Answer 9

使用在不同端口运行的 Express + Node + ionic 完成测试。

本地主机：8100

本地主机：5000

// CORS (Cross-Origin Resource Sharing) headers to support Cross-site HTTP requests

app.all('*', function(req, res, next) {
       res.header("Access-Control-Allow-Origin", "*");
       res.header("Access-Control-Allow-Headers", "X-Requested-With");
       res.header('Access-Control-Allow-Headers', 'Content-Type');
       next();
});

Answer 10

首先只需在您的项目中安装 cors 即可。
使用终端（命令提示符）和 cd 到您的项目目录并运行以下命令：

npm install cors --save

然后获取 server.js 文件并更改代码以在其中添加以下内容：

var cors = require('cors');


var app = express();

app.use(cors());

app.use(function(req, res, next) {
   res.header("Access-Control-Allow-Origin", "*");
   res.header('Access-Control-Allow-Methods', 'DELETE, PUT, GET, POST');
   res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
   next();
});

这对我有用..

Answer 11

前段时间，我遇到了这个问题，所以我这样做是为了在我的nodejs应用程序中允许CORS：

首先，您需要使用以下命令安装 cors：

npm install cors --save

现在添加将以下代码添加到您的应用程序启动文件中，例如（app.js 或 server.js）

var express = require('express');
var app = express();

var cors = require('cors');
var bodyParser = require('body-parser');

//enables cors
app.use(cors({
  'allowedHeaders': ['sessionId', 'Content-Type'],
  'exposedHeaders': ['sessionId'],
  'origin': '*',
  'methods': 'GET,HEAD,PUT,PATCH,POST,DELETE',
  'preflightContinue': false
}));

require('./router/index')(app);

Answer 12

这对我有用，因为它在路线内很容易实现，我使用meanjs并且它工作正常，safari，chrome等。

app.route('/footer-contact-form').post(emailer.sendFooterMail).options(function(req,res,next){ 
        res.header('Access-Control-Allow-Origin', '*'); 
        res.header('Access-Control-Allow-Methods', 'GET, POST');
        res.header('Access-Control-Allow-Headers', 'Origin, X-Requested-With, Content-Type, Accept');
        return res.send(200);

    });

Answer 13

如果您想让它特定于控制器，您可以使用：

res.setHeader("X-Frame-Options", "ALLOWALL");
res.setHeader("Access-Control-Allow-Origin", "*");
res.setHeader("Access-Control-Allow-Methods", "POST, GET");
res.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");

请注意，这也将允许 iframe。

Answer 14

在我的 index.js 中我添加了：

app.use((req, res, next) => {
   res.header("Access-Control-Allow-Origin", "*");
   res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
   res.header("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
   next();
}) 

Answer 15

cors 包是解决 express.js 中 CORS 策略问题的推荐方法，但您还需要确保为 app.options 启用它，如下所示：

const cors = require('cors');

// enable cors
app.use(
  cors({
    origin: true,
    optionsSuccessStatus: 200,
    credentials: true,
  })
);
app.options(
  '*',
  cors({
    origin: true,
    optionsSuccessStatus: 200,
    credentials: true,
  })
);

Answer 16

可以参考下面的代码进行同样的操作。来源：Academind/node-restful-api

const express = require('express');
const app = express();

//acts as a middleware
//to handle CORS Errors
app.use((req, res, next) => { //doesn't send response just adjusts it
    res.header("Access-Control-Allow-Origin", "*") //* to give access to any origin
    res.header(
        "Access-Control-Allow-Headers",
        "Origin, X-Requested-With, Content-Type, Accept, Authorization" //to give access to all the headers provided
    );
    if(req.method === 'OPTIONS'){
        res.header('Access-Control-Allow-Methods', 'PUT, POST, PATCH, DELETE, GET'); //to give access to all the methods provided
        return res.status(200).json({});
    }
    next(); //so that other routes can take over
})

Answer 17

最简单的答案是仅使用 cors 包。

const cors = require('cors');

const app = require('express')();
app.use(cors());

这将全面启用 CORS。如果您想了解如何在没有外部模块的情况下启用 CORS，您真正需要的是一些设置 Express 中间件 href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Access-Control-Allow-Origin" rel="noreferrer">'Access-Control-Allow-Origin'标头< /a>.这是允许从浏览器到服务器的交叉请求域所需的最低限度。

app.options('*', (req, res) => {
  res.set('Access-Control-Allow-Origin', '*');
  res.send('ok');
});

app.use((req, res) => {
  res.set('Access-Control-Allow-Origin', '*');
});

Answer 18

我使用 Express 4.2.0 的最简单的解决方案（编辑：似乎在 4.3.0 中不起作用）是：

function supportCrossOriginScript(req, res, next) {
    res.status(200);
    res.header("Access-Control-Allow-Origin", "*");
    res.header("Access-Control-Allow-Headers", "Content-Type");

    // res.header("Access-Control-Allow-Headers", "Origin");
    // res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    // res.header("Access-Control-Allow-Methods","POST, OPTIONS");
    // res.header("Access-Control-Allow-Methods","POST, GET, OPTIONS, DELETE, PUT, HEAD");
    // res.header("Access-Control-Max-Age","1728000");
    next();
}

// Support CORS
app.options('/result', supportCrossOriginScript);

app.post('/result', supportCrossOriginScript, function(req, res) {
    res.send('received');
    // do stuff with req
});

我想执行 app.all('/result', ...) 也会起作用...

Answer 19

以下对我有用，希望对某人有帮助！

const express = require('express');
const cors = require('cors');
let app = express();

app.use(cors({ origin: true }));

从 https://expressjs.com/en/resources/middleware 获取参考/cors.html#configuring-cors

Answer 20

在你的主 js 文件中尝试这个：

app.use((req, res, next) => {
res.header("Access-Control-Allow-Origin", "*");
res.header(
  "Access-Control-Allow-Headers",
  "Authorization, X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Allow-Request-Method"
);
res.header("Access-Control-Allow-Methods", "GET, POST, OPTIONS, PUT, DELETE");
res.header("Allow", "GET, POST, OPTIONS, PUT, DELETE");
next();
});

这应该可以解决你的问题

Answer 21

使用 CORS 包。并输入此参数：

cors({credentials: true, origin: true, exposedHeaders: '*'})

Answer 22

如果你想让 CORS 在没有 cors NPM 包的情况下工作（为了纯粹的学习乐趣！），你绝对可以自己处理 OPTIONS 调用。这对我有用：

app.options('*', (req, res) => {
    res.writeHead(200, '', {
        'Access-Control-Allow-Origin': '*',
        'Access-Control-Allow-Methods': 'OPTIONS',
    }).end();
});

又好又简单，对吧？请注意使用 res.writeHead() 而不是我不熟悉的 res.header()。

Answer 23

在typescript中，如果你想使用node.js包 cors

/**
* app.ts
* If you use the cors library
*/

import * as express from "express";
[...]
import * as cors from 'cors';

class App {
   public express: express.Application;

   constructor() {
       this.express = express();
       [..]
       this.handleCORSErrors();
   }

   private handleCORSErrors(): any {
       const corsOptions: cors.CorsOptions = {
           origin: 'http://example.com',
           optionsSuccessStatus: 200
       };
       this.express.use(cors(corsOptions));
   }
}

export default new App().express;

如果你不想要使用第三方库进行 cors 错误处理，您需要更改handleCORSErrors() 方法。

/**
* app.ts
* If you do not use the cors library
*/

import * as express from "express";
[...]

class App {
   public express: express.Application;

   constructor() {
       this.express = express();
       [..]
       this.handleCORSErrors();
   }

   private handleCORSErrors(): any {
       this.express.use((req, res, next) => {
           res.header("Access-Control-Allow-Origin", "*");
           res.header(
               "Access-Control-ALlow-Headers",
               "Origin, X-Requested-With, Content-Type, Accept, Authorization"
           );
           if (req.method === "OPTIONS") {
               res.header(
                   "Access-Control-Allow-Methods",
                   "PUT, POST, PATCH, GET, DELETE"
               );
               return res.status(200).json({});
           } 
           next(); // send the request to the next middleware
       });
    }
}

export default new App().express;

用于使用 app.ts 文件

/**
* server.ts
*/
import * as http from "http";
import app from "./app";

const server: http.Server = http.createServer(app);

const PORT: any = process.env.PORT || 3000;
server.listen(PORT);

Answer 24

使用 Express 中间件对我来说非常有用。如果您已经在使用 Express，只需添加以下中间件规则即可。它应该开始工作。

app.all("/api/*", function(req, res, next) {
  res.header("Access-Control-Allow-Origin", "*");
  res.header("Access-Control-Allow-Headers", "Cache-Control, Pragma, Origin, Authorization, Content-Type, X-Requested-With");
  res.header("Access-Control-Allow-Methods", "GET, PUT, POST");
  return next();
});

app.all("/api/*", function(req, res, next) {
  if (req.method.toLowerCase() !== "options") {
    return next();
  }
  return res.send(204);
});

参考

Answer 25

如果您的 Express 服务器启用了授权，您可以像这样实现

const express = require('express');
const app=express();
const cors=require("cors");
app.use(cors({
   credentials: true, // for authorization
}));
...

Answer 26

我发现使用 npm request 包（https://www.npmjs.com /package/request）

然后我的解决方案基于这篇文章 http://blog.javascripting.com/2015/01/17/dont-hassle-with-cors/

'use strict'

const express = require('express');
const request = require('request');

let proxyConfig = {
    url : {
        base: 'http://servertoreach.com?id=',
    }
}

/* setting up and configuring node express server for the application */
let server = express();
server.set('port', 3000);


/* methods forwarded to the servertoreach proxy  */
server.use('/somethingElse', function(req, res)
{
    let url = proxyConfig.url.base + req.query.id;
    req.pipe(request(url)).pipe(res);
});


/* start the server */
server.listen(server.get('port'), function() {
    console.log('express server with a proxy listening on port ' + server.get('port'));
});

Answer 27

我对我的网络应用程序执行了以下步骤，并取得了成功：

将 cors 包添加到 Express：

npm install cors --save

在 bodyParser 配置之后添加以下行。我在 bodyParser 之前添加时遇到了一些麻烦：

 // enable cors to the server
const corsOpt = {
    origin: process.env.CORS_ALLOW_ORIGIN || '*', // this work well to configure origin url in the server
    methods: ['GET', 'PUT', 'POST', 'DELETE', 'OPTIONS'], // to works well with web app, OPTIONS is required
    allowedHeaders: ['Content-Type', 'Authorization'] // allow json and token in the headers
};
app.use(cors(corsOpt)); // cors for all the routes of the application
app.options('*', cors(corsOpt)); // automatic cors gen for HTTP verbs in all routes, This can be redundant but I kept to be sure that will always work.

Answer 28

这与帕特的答案类似，不同之处在于我以 res.sendStatus(200); 结束。而不是下一个（）；

该代码将捕获方法类型 OPTIONS 的所有请求并发送回访问控制标头。

app.options('/*', (req, res, next) => {
    res.header('Access-Control-Allow-Origin', '*');
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE,OPTIONS');
    res.header('Access-Control-Allow-Headers', 'Content-Type, Authorization, Content-Length, X-Requested-With');
    res.sendStatus(200);
});

该代码按照问题中的要求接受来自所有来源的 CORS。但是，最好将 * 替换为特定来源，即 http://localhost:8080 以防止误用。

由于我们使用 app.options-method 而不是 app.use-method，因此我们不需要进行此检查：

req.method === 'OPTIONS'

我们可以在其他一些答案中看到这一点。

我在这里找到了答案： http://johnzhang.io/options-request-in-express< /a>.

Answer 29

最简单的方法是使用以下命令在项目中安装 cors 模块：

npm i --save cors

然后在服务器文件中使用以下命令导入它：

import cors from 'cors';

然后只需将其用作中间件，如下所示：

app.use(cors());

希望这会有所帮助！

Answer 30

简单即困难：

 let my_data = []
const promise = new Promise(async function (resolve, reject) {
    axios.post('https://cors-anywhere.herokuapp.com/https://maps.googleapis.com/maps/api/directions/json?origin=33.69057660000001,72.9782724&destination=33.691478,%2072.978594&key=AIzaSyApzbs5QDJOnEObdSBN_Cmln5ZWxx323vA'
        , { 'Origin': 'https://localhost:3000' })
        .then(function (response) {
            console.log(`axios response ${response.data}`)
            const my_data = response.data
            resolve(my_data)
        })
        .catch(function (error) {
            console.log(error)
            alert('connection error')
        })
})
promise.then(data => {
    console.log(JSON.stringify(data))
})