angular - 为什么添加 HTTP 拦截器会导致 CORS 错误?
问题描述
我正在开发一个带有 PHP REST Api 的 Angular 6 应用程序。我的开发环境托管在我的本地主机上,所以开始我必须启用 Access-Control-Allow-Origin: * 以绕过我遇到的任何 CORS 错误。
最近我一直在尝试使用拦截器来实现 JWT,以将它们添加到我的 HTTP 请求中。一旦我按照谷歌的例子启用了解释器,我就开始再次收到 CORS 错误:
blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header
我很肯定这与我的拦截器有关,因为当我将其注释掉时,它会再次起作用。这是我想要工作的拦截器的代码:
import { HttpEvent, HttpHandler, HttpInterceptor, HttpRequest } from
'@angular/common/http';
import { Injectable } from '@angular/core';
import { Observable } from 'rxjs/index';
import {AuthService} from './auth.service';
@Injectable()
export class AuthInterceptor implements HttpInterceptor {
constructor(public auth: AuthService) {}
intercept(req: HttpRequest<any>, next: HttpHandler):
Observable<HttpEvent<any>> {
req = req.clone({
setHeaders: {
'Content-Type' : 'application/json; charset=utf-8',
// 'Accept' : 'application/json',
'Authorization': `Bearer ${this.auth.getToken()}`
}
});
return next.handle(req);
}
}
我什至试图将其剥离以仅将授权标头设置为可用。
如果我注释掉 Authorization 标头并留下 Content-Type,我仍然会收到 CORS 错误。如果我将内容类型更改为纯文本/文本,它可以工作,但我没有授权标头。如果我将内容类型保持为纯/文本并添加 Authorization 标头,则会收到 CORS 错误。
此时我只想查看 $_SERVER var 中的授权标头,因此 PHP 的测试非常简单:
<?php
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: GET, POST, PATCH, PUT, DELETE,
OPTIONS');
header('Access-Control-Allow-Headers: Authorization, Access, Origin,
Content-Type, X-Auth-Token');
echo json_encode(array(
'status' => 0
,'message'=> $_SERVER
));
exit;
这是我的应用程序模块,用于显示拦截器已配置:
import { BrowserModule } from '@angular/platform-browser';
import { NgModule } from '@angular/core';
import { AppRoutingModule } from './app-routing.module';
import { AppComponent } from './app.component';
import { LoginFormComponent } from './login-form/login-form.component';
import { FormsModule, ReactiveFormsModule } from '@angular/forms';
import {HTTP_INTERCEPTORS, HttpClientModule} from '@angular/common/http';
import {AuthInterceptor} from './auth.interceptor';
import { MessagesComponent } from './messages/messages.component';
@NgModule({
declarations: [
AppComponent,
LoginFormComponent,
MessagesComponent
],
imports: [
BrowserModule,
AppRoutingModule,
HttpClientModule,
FormsModule,
ReactiveFormsModule
],
providers: [
{
provide: HTTP_INTERCEPTORS,
useClass: AuthInterceptor,
multi: true
}
],
bootstrap: [AppComponent]
})
export class AppModule { }
这是我用来发送 HTTP 请求的登录服务:
import { Injectable } from '@angular/core';
import { HttpClient } from '@angular/common/http';
import { ServerResponse } from './server-response';
import {MessagesService} from './messages.service';
import {AuthService} from './auth.service';
@Injectable({
providedIn: 'root'
})
export class LoginService {
constructor(private http: HttpClient,
private ms: MessagesService,
private auth: AuthService) { }
login(formData) {
this.ms.clear();
console.log('JSON data', JSON.stringify((formData)));
console.log(this.auth.getToken());
return this.http.post('http://jpapp.com/api/login/login.php', JSON.stringify(formData))
.subscribe((rs: ServerResponse) => {
console.log('%cPost Success', 'color: green;');
console.log(rs);
}, (error) => ({status: -99, message: error}));
}
}
如果我删除拦截器,Requet 标头看起来像这样(这就是我尝试将内容类型更改为纯/文本的想法的地方):
Provisional headers are shown
Accept: application/json, text/plain, */*
Content-Type: text/plain
Origin: http://localhost:4200
Referer: http://localhost:4200/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
当我启用拦截器时,请求标头如下所示:
Provisional headers are shown
Access-Control-Request-Headers: authorization,content-type
Access-Control-Request-Method: POST
Origin: http://localhost:4200
Referer: http://localhost:4200/
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
我已经读到我可能可以使用 chrome 扩展绕过这个,但想知道我的代码中是否有什么东西,然后再安装扩展来尝试。
任何信息表示赞赏!
解决方案
更新
编辑:我应该提到我发现将 req.clone() 设置为空白作品的原因是因为预检只发生在复杂而不是简单的cors 请求上。一旦您添加自定义标头,在我的情况下,授权或执行任何使其不再是简单请求的操作,默认情况下,它会使用 OPTIONS 方法发送预检请求,而不是在我的情况下是 POST。这篇文章很好地解释了 cors 和一个简单与复杂的请求:https ://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
预检响应错误与代码本身无关。问题在于我的 IIS 10 Web 服务器的配置。
在这篇文章之后:CORS 模块配置参考我将所需的 cors 节点添加到我的 web.config 文件中,现在它可以正常工作
通过安装 Allow-Control-Allow-Origin,我能够绕过预检请求 CORS 错误:* Chrome 扩展
https://chrome.google.com/webstore/detail/allow-control-allow-origi/nlfbmbojpeacfghkpbjhddihlkkiljbi?hl= zh
如果我将默认 URL 匹配更改为匹配我的 URL,它似乎仍然有效,我*://*/*
再次收到 CORS 错误,但这可能只是我的模式匹配的问题。如果能解释它是如何工作的,那就太好了。
我仍在寻找一个原因,为什么通过拦截器传递授权会破坏服务器 Access-Control-Allow-Origin: * 因为我确信一旦我实际部署了这个应用程序和 api,我会再次遇到这个问题。将这个扩展与默认配置一起使用也是一个 PITA,因为它会破坏一堆站点。
推荐阅读
- r - 在两列布局的 r-markdown 文档中插入优雅的表格
- sql - 合并相似的 Athena (Presto) 查询
- reactjs - 如何保护您的 spfx 设计的 SharePoint Online 表单和工作流 - spfx 项目的最佳安全性
- python - 纯 python 上的 Numba VS numpy-python 上的 Numpa
- ios - 在 setNeedsDisplay 之后,UITabBar 没有改变颜色
- eclipse-hono - 将数据从 Hono 发送到同上
- php - PHP 单元测试 - 使用其中的服务实例测试功能
- android - 当它存在于 NestedScrollView 中时,如何停止加载所有 RecyclerView 元素?
- django - 在 ModelViewSet 中向查询集添加数据
- scala - 不支持的身份验证令牌,方案='none' 仅在禁用身份验证时允许:{ scheme='none'} - Neo4j 身份验证错误