Розуміння помилок CORS в jQuery, але не в Postman

Розуміння помилок CORS в jQuery, але не в Postman
Розуміння помилок CORS в jQuery, але не в Postman
Arthur Petit
четвер, 4 липня 2024 р. о 10:14:51

Чому в браузерах виникають помилки CORS?

Під час роботи з JavaScript для підключення до RESTful API ви можете зіткнутися з помилкою «Немає заголовка «Access-Control-Allow-Origin» на запитуваному ресурсі». Ця помилка зазвичай виникає через політику Same Origin у веб-переглядачі, яка забороняє веб-сторінкам надсилати запити до домену, відмінного від того, який обслуговував веб-сторінку.

Цікаво, що коли той самий запит виконується за допомогою таких інструментів, як Postman, така помилка не виникає. Ця різниця може викликати здивування у розробників. Розуміння того, чому виклики XMLHttpRequest або fetch блокуються CORS у браузері, але не в Postman, має вирішальне значення для усунення несправностей і розробки безпечних веб-програм.

Вирішення проблем CORS у JavaScript за допомогою Flask Backend

Інтерфейсний код JavaScript з використанням jQuery

// JavaScript (jQuery) frontend script
$(document).ready(function() {
  $("#loginButton").click(function() {
    $.ajax({
      type: 'POST',
      dataType: 'json',
      url: 'http://localhost:5000/login',
      data: JSON.stringify({
        username: 'user',
        password: 'pass'
      }),
      contentType: 'application/json',
      crossDomain: true,
      xhrFields: {
        withCredentials: true
      }
    }).done(function(data) {
      console.log('Login successful');
    }).fail(function(xhr, textStatus, errorThrown) {
      alert('Error: ' + xhr.responseText);
    });
  });
});

Налаштування CORS у Flask

Внутрішній код Python за допомогою Flask

# Python (Flask) backend script
from flask import Flask, request, jsonify
from flask_cors import CORS

app = Flask(__name__)
CORS(app, supports_credentials=True)

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')

    if username == 'user' and password == 'pass':
        return jsonify({'message': 'Login successful'}), 200
    else:
        return jsonify({'message': 'Invalid credentials'}), 401

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

Вирішення проблем CORS у JavaScript за допомогою Flask Backend

Інтерфейсний код JavaScript з використанням jQuery

// JavaScript (jQuery) frontend script
$(document).ready(function() {
  $("#loginButton").click(function() {
    $.ajax({
      type: 'POST',
      dataType: 'json',
      url: 'http://localhost:5000/login',
      data: JSON.stringify({
        username: 'user',
        password: 'pass'
      }),
      contentType: 'application/json',
      crossDomain: true,
      xhrFields: {
        withCredentials: true
      }
    }).done(function(data) {
      console.log('Login successful');
    }).fail(function(xhr, textStatus, errorThrown) {
      alert('Error: ' + xhr.responseText);
    });
  });
});

Налаштування CORS у Flask

Внутрішній код Python за допомогою Flask

# Python (Flask) backend script
from flask import Flask, request, jsonify
from flask_cors import CORS

app = Flask(__name__)
CORS(app, supports_credentials=True)

@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')

    if username == 'user' and password == 'pass':
        return jsonify({'message': 'Login successful'}), 200
    else:
        return jsonify({'message': 'Invalid credentials'}), 401

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

Чому проблеми з CORS виникають у браузерах, а не в Postman

Важливим аспектом спільного використання ресурсів між джерелами (CORS) є механізм безпеки, який реалізують браузери для захисту користувачів. Браузери застосовують політику того самого походження, яка не дозволяє веб-сторінкам робити запити до домену, відмінного від того, який обслуговує веб-сторінку. Це захід безпеки, щоб запобігти доступу шкідливих веб-сайтів до конфіденційної інформації на інших веб-сайтах через JavaScript. Коли ви робите запит XMLHttpRequest або отримуєте запит із браузера, він перевіряє наявність 'Access-Control-Allow-Origin' заголовок у відповіді від сервера. Якщо цей заголовок відсутній або не дозволяє джерело запиту, браузер заблокує запит, що призведе до помилки CORS.

З іншого боку, Postman — це не браузер, а інструмент для тестування API. Він не забезпечує застосування політики того самого походження, оскільки він не працює в середовищі браузера. Таким чином, він не виконує ті самі перевірки безпеки та дозволяє робити запити до будь-якого домену без обмежень. Ось чому ви не стикаєтеся з проблемами CORS, коли використовуєте Postman для того самого запиту. Розуміння цієї різниці має вирішальне значення для розробників для ефективного усунення та вирішення проблем, пов’язаних із CORS. Налаштувавши сервер для включення відповідних заголовків CORS, ви можете переконатися, що ваш веб-додаток може спілкуватися із зовнішніми API безпечно та без помилок.

Поширені запитання та відповіді про CORS і JavaScript

  1. Що таке CORS?
  2. CORS означає Cross-Origin Resource Sharing, механізм, який дозволяє запитувати обмежені ресурси на веб-сторінці з іншого домену за межами домену, з якого походить ресурс.
  3. Чому веб-переглядачі застосовують політику однакового походження?
  4. Політика того самого походження застосовується для захисту даних користувачів і запобігання доступу зловмисних веб-сайтів до конфіденційної інформації з інших доменів через JavaScript.
  5. Чому Postman не впроваджує CORS?
  6. Postman не застосовує CORS, оскільки це не браузер і не працює в середовищі браузера, тому йому не потрібно дотримуватися політики того самого походження.
  7. Як я можу вирішити помилку CORS у своїй веб-програмі?
  8. Щоб усунути помилку CORS, налаштуйте сервер, щоб включити відповідні 'Access-Control-Allow-Origin' заголовок у відповіді, дозволяючи джерело запиту.
  9. Що означає 'Access-Control-Allow-Origin' заголовок робити?
  10. The 'Access-Control-Allow-Origin' заголовок визначає, яким джерелам дозволено доступ до ресурсу, уможливлюючи перехресні запити джерел.
  11. Яка мета withCredentials в XMLHttpRequest?
  12. The withCredentials Властивість вказує, чи потрібно робити міжсайтові запити контролю доступу за допомогою облікових даних, таких як файли cookie або заголовки авторизації.
  13. Чому я отримую помилку CORS, навіть якщо мій сервер містить 'Access-Control-Allow-Origin' заголовок?
  14. Ви все одно можете отримати помилку CORS, якщо інші необхідні заголовки CORS, наприклад 'Access-Control-Allow-Methods' або 'Access-Control-Allow-Headers', відсутні або неправильно налаштовані.
  15. Чи можу я вимкнути CORS у своєму браузері?
  16. Не рекомендується вимикати CORS у браузері, оскільки це загрожує безпеці. Натомість налаштуйте свій сервер на належну обробку CORS.
  17. Що таке передполітний запит у CORS?
  18. Запит перед друком — це початковий запит, зроблений браузером за допомогою методу OPTIONS, щоб визначити, чи безпечно надсилати фактичний запит. Він перевіряє наявність необхідних заголовків CORS на сервері.

Завершення обговорення

Розуміння нюансів CORS і політики того самого походження є важливим для веб-розробників. Хоча браузери застосовують суворі заходи безпеки для захисту користувачів, такі інструменти, як Postman, обходять ці обмеження, полегшуючи тестування API. Правильно налаштувавши бекенд із необхідними заголовками CORS, розробники можуть забезпечити плавний і безпечний зв’язок між інтерфейсом і бекендом. Вирішення проблем CORS має вирішальне значення для створення функціональних і зручних веб-додатків.