強制HTTPS (HSTS) 導(dǎo)致 CORS preflight 請求失敗的問題

強制HTTPS (HSTS) 導(dǎo)致 CORS preflight 請求失敗的問題

最近遇到個問題前翎,跨域 PUT 請求的時候稚配,后端已經(jīng)設(shè)置好 Access-Control-Allow-Origin 頭信息了,然而瀏覽器還是報:

Access to XMLHttpRequest at 'http://abc.example.com/api/v3/xxx/1' from origin 'http://example.com' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: Redirect is not allowed for a preflight request.

根據(jù)MDN的說法港华,當(dāng)進行一個簡單請求(Simple Requests)的時候道川,瀏覽器是不需要發(fā)出預(yù)檢請求(Preflight Request)的。但是如果不是簡單請求,則瀏覽器會先通過 OPTIONS 方法發(fā)出一個預(yù)檢請求冒萄,以判斷該地址是否支持CORS.

關(guān)于什么是簡單請求可以參考 HTTP訪問控制(CORS) - HTTP | MDN 中的定義臊岸,我們上面使用的PUT請求方法便不是簡單請求,那么瀏覽器就要先發(fā)出一個 OPTIONS 請求到服務(wù)器尊流。然而帅戒,我的服務(wù)器已經(jīng)設(shè)置好了應(yīng)對預(yù)檢請求的響應(yīng)力试,怎么還是不行呢每强?

仔細(xì)一看,關(guān)鍵還在于最后一句:Redirect is not allowed for a preflight request. (預(yù)檢請求不允許重定向重定向)慨飘。這時我更加納悶响疚,我這個地址并沒有重定向呀鄙信?于是我打開開發(fā)者工具,在Network頁中看到忿晕,服務(wù)器返回的Status Code 是 307 Internal Redirect 装诡,返回的header是:

Access-Control-Allow-Credentials: true

Access-Control-Allow-Origin: http://example.com

Location: https://abc.example.com/api/v3/xxx/1

Non-Authoritative-Reason: HSTS

原來,服務(wù)器端的Nginx開啟了HSTS (HTTP Strict Transport Security) HTTP嚴(yán)格安全傳輸践盼,導(dǎo)致服務(wù)器要求瀏覽器轉(zhuǎn)跳到HTTPS協(xié)議的地址鸦采,這也導(dǎo)致了瀏覽器阻止了CORS請求。

那么如果還想實現(xiàn)跨域請求咕幻,就只能把Nginx的HSTS關(guān)閉了渔伯。

找到Nginx的對應(yīng)網(wǎng)站的443端口的配置文件,找到類似以下的配置:

add_header Strict-Transport-Security max-age=31536000;

把它改成:

add_header Strict-Transport-Security max-age=0;

重啟Nginx服務(wù)器肄程,清除瀏覽器緩存(瀏覽器會緩存redirect請求)锣吼,再次請求,服務(wù)器便不再返回307要求轉(zhuǎn)跳到HTTPS協(xié)議的網(wǎng)站啦蓝厌。

注意玄叠,要修改的是443端口(即HTTPS協(xié)議)的配置文件,因為:

The Strict-Transport-Security header is ignored by the browser when your site is accessed using HTTP; this is because an attacker may intercept HTTP connections and inject the header or remove it. When your site is accessed over HTTPS with no certificate errors, the browser knows your site is HTTPS capable and will honor the Strict-Transport-Security header.

Strict-Transport-Security - HTTP | MDN

Reference

  1. HTTP訪問控制(CORS) - HTTP | MDN

  2. Strict-Transport-Security - HTTP | MDN

  3. Bug squash: Google Chrome caches 301 redirects

  4. http status code 301 - How long does Chrome remember a 301 redirect? - Stack Overflow

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末拓提,一起剝皮案震驚了整個濱河市读恃,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌代态,老刑警劉巖寺惫,帶你破解...
    沈念sama閱讀 216,496評論 6 501
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異蹦疑,居然都是意外死亡西雀,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,407評論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門歉摧,熙熙樓的掌柜王于貴愁眉苦臉地迎上來蒋搜,“玉大人篡撵,你說我怎么就攤上這事《雇欤” “怎么了育谬?”我有些...
    開封第一講書人閱讀 162,632評論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長帮哈。 經(jīng)常有香客問我膛檀,道長,這世上最難降的妖魔是什么娘侍? 我笑而不...
    開封第一講書人閱讀 58,180評論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任咖刃,我火速辦了婚禮,結(jié)果婚禮上憾筏,老公的妹妹穿的比我還像新娘嚎杨。我一直安慰自己,他們只是感情好氧腰,可當(dāng)我...
    茶點故事閱讀 67,198評論 6 388
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布枫浙。 她就那樣靜靜地躺著,像睡著了一般古拴。 火紅的嫁衣襯著肌膚如雪箩帚。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,165評論 1 299
  • 城市分裂傳說
    那天黄痪,我揣著相機與錄音紧帕,去河邊找鬼。 笑死桅打,一個胖子當(dāng)著我的面吹牛是嗜,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播挺尾,決...
    沈念sama閱讀 40,052評論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼叠纷,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了潦嘶?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,910評論 0 274
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤崇众,失蹤者是張志新(化名)和其女友劉穎掂僵,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體顷歌,經(jīng)...
    沈念sama閱讀 45,324評論 1 310
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡锰蓬,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,542評論 2 332
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了眯漩。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片芹扭。...
    茶點故事閱讀 39,711評論 1 348
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡麻顶,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出舱卡,到底是詐尸還是另有隱情辅肾,我是刑警寧澤,帶...
    沈念sama閱讀 35,424評論 5 343
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布轮锥,位于F島的核電站矫钓,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏舍杜。R本人自食惡果不足惜新娜,卻給世界環(huán)境...
    茶點故事閱讀 41,017評論 3 326
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望既绩。 院中可真熱鬧概龄,春花似錦、人聲如沸饲握。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,668評論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽互拾。三九已至歪今,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間颜矿,已是汗流浹背寄猩。 一陣腳步聲響...
    開封第一講書人閱讀 32,823評論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留骑疆,地道東北人田篇。 一個月前我還...
    沈念sama閱讀 47,722評論 2 368
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像箍铭,于是被迫代替她去往敵國和親泊柬。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,611評論 2 353

推薦閱讀更多精彩內(nèi)容

  • 緣起 關(guān)于跨域問題诈火,聽得多兽赁,但一直未曾梳理。 最近因為跨站 POST 無法上傳圖片冷守,初識 cors刀崖,折騰多次;因認(rèn)...
    michael_jia閱讀 1,652評論 0 2
  • http://www.ruanyifeng.com/blog/2016/04/cors.htmlCORS是一個W3...
    文茶君閱讀 202評論 0 0
  • 引用自HTTP訪問控制(CORS) 當(dāng) Web 資源請求由其它域名或端口提供的資源時拍摇,會發(fā)起跨域 HTTP 請求(...
    有涯逐無涯閱讀 2,585評論 0 4
  • > 翻譯:瘋狂的技術(shù)宅 ### 前言 CORS 與 cookie 在前端是個非常重要的問題亮钦,不過在大多數(shù)情況下,因...
    京程一燈閱讀 698評論 0 1
  • 題目1.什么是同源策略? 同源策略(Same origin Policy): 瀏覽器出于安全方面的考慮充活,只允許與本...
    FLYSASA閱讀 1,721評論 0 6