本文探讨了跨域请求中出现的'Access-Control-Allow-Origin'头包含多个值的问题,解释了问题原因在于Nginx和代码层面的双重配置,并提供了解决方案——移除冗余的跨域设置。文章还澄清了一个常见误解,即跨域限制并非阻止请求的发起,而是浏览器拦截响应结果。
The 'Access-Control-Allow-Origin' header contains multiple values 'null, *', but only one is allowed.
问题原因:配置了多个跨域,nginx配置了一层跨域,代码里又配置了一层跨域。导致header里面的数据重复。
解决方案:去掉其中一个跨域配置.
其他:不允许跨域访问并非是浏览器限制了发起跨站请求,而是跨站请求可以正常发起,但是返回结果被浏览器拦截了。
理解这一点是很重要的。最好的例子是 CSRF 跨站攻击原理,无论是否跨域请求都发送到了后端服务器!注意,有些浏览器不允许从 HTTPS 跨域访问 HTTP,比如 Chrome 和 Firefox,这些浏览器在请求还未发出的时候就会拦截请求,这是一个特例。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
