Причина: отсутствует заголовок CORS «Access-Control-Allow-Origin»
Причина
Причина: отсутствует заголовок CORS «Access-Control-Allow-Origin»
Почему это произошло?
В ответе на CORS-запрос отсутствует обязательный заголовок Access-Control-Allow-Origin, используемый для проверки, может ли ресурс быть доступен для контента с текущего домена.
При наличии доступа к серверу, можно внести домен запрашивающего сайта в список разрешённых, добавив его в значение заголовка Access-Control-Allow-Origin.
Например, для предоставления сайту https://example.com доступа к ресурсам с использованием CORS, заголовок должен выглядеть так:
Access-Control-Allow-Origin: https://example.com
Также можно разрешить доступ к сайту для любого другого сайта, используя подстановку *. Этот способ подходит только для публичных API. В закрытых API * не должна использоваться, вместо этого должен быть установлен конкретный домен или домены. При этом подстановка работает только для запросов с атрибутом crossorigin со значением anonymous, это предотвращает отправку в запросах учётных данных, таких как файлы cookie.
Access-Control-Allow-Origin: *
Предупреждение: Использование подстановки * для разрешения всем сайтам доступа к закрытым API — плохая идея по очевидным причинам.
Чтобы разрешить любому сайту делать CORS-запросы без использования подстановки * (например, для включения авторизационных данных), сервер должен считывать значение заголовка Origin из запроса и использовать это значение, чтобы задать Access-Control-Allow-Origin, а также уставить заголовок Vary: Origin, чтобы обозначить динамическую установку заголовка в зависимости от источника.
Примеры для распространенных веб-серверов
Конкретная директива для установки заголовков зависит от используемого сервера.
В Apache (документация) нужно добавить следующую строку в конфигурацию сервера (в соответствующих разделах <Directory>, <Location>, <Files> или <VirtualHost>). Конфигурация обычно находится в файле с расширением .conf (стандартные названия: httpd.conf, apache.conf), либо в файле .htaccess:
Header set Access-Control-Allow-Origin 'https://example.com'
В Nginx (документация) для установки этого заголовка используется команда:
add_header 'Access-Control-Allow-Origin' 'https://example.com' always;
Смотрите также
- Ошибки CORS
- Глоссарий: CORS
- Введение в CORS