CORS-Anfrage schlägt in Chrome nur fehl, wenn Header

Question

Ich versuche, einfache CORS-Anfrage an externe Anwendungsserver, die Sitzungsschlüssel für die Autorisierung verwendet senden.

$.ajax({ 
    type: "GET", 
    url: "https://192.168.1.72:8442/api/file/", 
    headers: {"Authorization": "3238562439e44fcab4036a24a1e6b0fb"} 
}); 

Es funktioniert gut in Firefox 18, Opera 12.12 und Rekonq 2.0 (verwendet auch WebKit), aber in Google Chrome funktioniert nicht (versucht Versionen 21 und 24). In Google Chrome wird die Option OPTIONS angezeigt. Die Ressource konnte im Netzwerkinspektor nicht geladen werden, und der Anwendungsserver erhält keine Anforderung. Ich habe jQuery 1.8.3 und 1.9.0 versucht.

Request URL:https://192.168.1.72:8442/api/file/ 
Request Headers 
Access-Control-Request-Headers:accept, authorization, origin 
Access-Control-Request-Method:GET 
Cache-Control:no-cache 
Origin:https://192.168.1.72:8480 
Pragma:no-cache 

Wenn ich entfernen Header aus der Anforderung dann erhalte ich 401 auch in Google Chrome und es ist in der Lage, die Ressource im Fall der Genehmigung für den Zugriff auf Anwendungsserver deaktiviert. Es spielt keine Rolle, welche Header gesendet werden. Nur Header, den ich senden kann, ist {"Content-Type": "plain/text"}. Alle anderen Header-Namen/Werte geben einen Fehler in Google Chrome, funktionieren aber in allen oben genannten Browsern.

Warum Google Chrome behandelt Header in CORS-Anfrage nicht?

Answer 1

Es ist ein Fehler in Google Chrome: http://code.google.com/p/chromium/issues/detail?id=96007.

Answer 2

Server-Seite: Der Server sollte den Header "Access-Control-Allow-Credentials" gesetzt und auch die erlaubten Header in "Access-Control-Allow-Header" gesetzt.

Clientseite: Sie können xhrFields in $ .ajax() setzen, anstatt den Auth-Header explizit zu übergeben.

xhrFields: { 
    withCredentials: true 
} 

Mehr Details here.

Answer 3

Ich benutze selbstsigniertes Zertifikat auf meinem API-Server und das scheint das Problem zu sein. Ich habe festgestellt, dass, wenn ich Google Chrome mit der Option --disable-web-security starte, CORS mit Anforderungsheadern funktioniert. Ohne --disable-web-security kann ich CORS-Anfragen an selbstsignierte API-Server senden, aber keine Header hinzufügen (außer Content-Type).

Answer 4

Ich fand, dass Access-Control-Erlaube-Header: * sollte nur für "OPTIONS" Anfrage eingestellt werden. Wenn Sie es für POST-Anfrage dann zurück Browser für mich

// Allow CORS 
header("Access-Control-Allow-Origin: *"); 
header('Access-Control-Allow-Credentials: true');  
header("Access-Control-Allow-Methods: GET, POST, OPTIONS"); 

// Access-Control headers are received during OPTIONS requests 
if ($_SERVER['REQUEST_METHOD'] == 'OPTIONS') { 
    header("Access-Control-Allow-Headers: *"); 
} 

ich ähnliche Fragen mit etwas irreführende Antwort die Anfrage (zumindest für Chrom)

Die folgenden PHP-Code funktioniert Abbrechen gefunden: - Server-Thread sagt, das ist 2 Jahre Bug von Chrome: Access-Control-Allow-Headers stimmt nicht mit localhost überein. Es ist falsch: Ich kann CORS zu meinem lokalen Server mit Post normalerweise verwenden - Access-Control-Allow-Header akzeptiert Platzhalter. Es ist auch falsch, Wildcard funktioniert für mich (ich testete nur mit Chrome)

Das dauert mich einen halben Tag, um das Problem herauszufinden.

Glücklich Codierung