我继承了一个相当基本的站点,它提供数据并处理一些套接字连接。它使用 iisnode 作为桥梁在 IIS 后面运行 NodeJS。从“提供普通页面”的角度来看,这一切都工作正常。
问题的一部分在于,与服务器的实际连接来自桌面客户端,其中内容通过不同的应用程序作为小工具加载,并且来自网络、移动设备等可能发生变化和变化的部分。即 - 未知数量的客户端域。
我已经将 Access-Control-Allow origin 设置为 * 以打开谷仓门,但现在在客户端中收到以下错误:
11:29:57.668 Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at ‘http://server/socket.io/?EIO=3&transport=polling&t=1486150196479-0’. (Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’). 1 (unknown)
我尝试将 Access-Control-Allow-Credentials 显式设置为 false(以及 true,以及完全忽略它),但我的所有尝试都不允许我克服这一点。
原始响应 header 当前如下所示:
Access-Control-Allow-Credentials: false
Access-Control-Allow-Headers: Origin,Content-Type,Accept
Access-Control-Allow-Methods: GET,HEAD,PUT,POST,DELETE,OPTIONS
Access-Control-Allow-Origin: *
Cache-Control: no-cache
Content-Encoding: gzip
Content-Length: 969
Content-Type: text/html
Date: Fri, 03 Feb 2017 19:30:21 GMT
Server: Microsoft-IIS/8.5
Vary: Accept-Encoding
X-Powered-By: ASP.NET
过去几天查看了大量 CORS 网站和文章后,我似乎无法弄清楚为什么它仍然提示凭据 - 更具体地说,我该如何解决这个问题?
谢谢!
更新 2017-02-06
客户端代码并不是非常令人兴奋。由于服务器是 IIS 后面的 NodeJS,因此我真正要做的就是实现套接字连接:
var socket = io('http://' + currentServer, {path: '/broadcast/socket.io', reconnection: false, forceNew: true});
socket.on('update message', function (data) {
// do some fancy things
}
这适用于同一域内。
我还根据 sideshowbarker 的评论进行了更多挖掘,这些评论引导我找到了这个 article有一些额外的步骤来添加变量,以及一些其他的事情来让该部分工作。
我的 applicationHost.config 当前包含此部分:
<location path="Default Web Site">
<system.webServer>
<rewrite>
<allowedServerVariables>
<add name="CAPTURED_ORIGIN" />
<add name="RESPONSE_Access-Control-Allow-Origin" />
</allowedServerVariables>
</rewrite>
</system.webServer>
</location>
我的 web.config 在这里:
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Fail bad requests">
<match url="." />
<conditions>
<add input="{HTTP_HOST}" negate="true" pattern="localhost" />
</conditions>
<action type="AbortRequest" />
</rule>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin" pattern=".+" negate="true" />
<!--<action type="Rewrite" value="{C:0}" /> -->
</rule>
</outboundRules>
</rewrite>
<tracing>
<traceFailedRequests>
<add path="*">
<traceAreas>
<add provider="ASP" verbosity="Verbose" />
<add provider="ASPNET" areas="Infrastructure,Module,Page,AppServices" verbosity="Verbose" />
<add provider="ISAPI Extension" verbosity="Verbose" />
<add provider="WWW Server" areas="Authentication,Security,Filter,StaticFile,CGI,Compression,Cache,RequestNotifications,Module,FastCGI,WebSocket" verbosity="Verbose" />
</traceAreas>
<failureDefinitions statusCodes="400-599" />
</add>
</traceFailedRequests>
</tracing>
</system.webServer>
</configuration>
在 outboundRules 上,我当前已注释掉操作 type="Rewrite"行,因为当我启用该操作时,它会引发错误。
HTTP Error 500.52 - URL Rewrite Module Error.
The page cannot be displayed because an internal server error has occurred.
Most likely causes:
•IIS received the request; however, an internal error occurred during the processing of the request. The root cause of this error depends on which module handles the request and what was happening in the worker process when this error occurred.
•IIS was not able to access the web.config file for the Web site or application. This can occur if the NTFS permissions are set incorrectly.
•IIS was not able to process configuration for the Web site or application.
•The authenticated user does not have permission to use this DLL.
•The request is mapped to a managed handler but the .NET Extensibility Feature is not installed.
Detailed Error Information:
Module: RewriteModule
Notification: SendResponse
Handler: StaticFile
Error Code: 0x80070585
Requested URL: http://localhost:80/iisstart.htm
Physical Path: C:\inetpub\wwwroot\iisstart.htm
Logon Method: Anonymous
Logon User: Anonymous
Request Tracing Directory: C:\inetpub\logs\FailedReqLogFiles
失败的请求日志并没有太大帮助,它们显示以下警告:
411. -MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: RewriteModule
Notification: SEND_RESPONSE
HttpStatus: 500
HttpReason: URL Rewrite Module Error.
HttpSubStatus: 52
ErrorCode: Invalid index. (0x80070585)
ConfigExceptionInfo:
最佳答案
问题没有显示发送导致该错误的请求的客户端代码,但是:
客户端代码必须使用 XHR 或 Fetch API (或使用 jQuery 或其他调用其中之一的库),并且该代码要么设置 XHR withCredentials属性设置为 true 或正在调用 Fetch Request constructor选项对象的 credentials 选项设置为 include。
在这种情况下,并且服务器响应具有 Access-Control-Allow-Origin: * header ,您的浏览器将记录问题中引用的错误。
因此,一种解决方案是更改 JavaScript 客户端代码,使其不将 XHR withCredentials 设置为 true,也不使用 credentials: 'include 调用 Fetch Request 构造函数'。
另一个解决方案是让您的服务器端代码采用 Origin 请求 header 值并将其回显到 Access-Control-Allow-Origin 响应 header 值.
对于 IIS,您可以使用 URL Rewrite Module 来做到这一点通过将以下内容添加到 IIS 配置文件(%SystemDrive%\inetpub\wwwroot\ 中的 Web.config 或 ApplicationHost.config 文件)。
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="Capture Origin Header">
<match url=".*" />
<conditions>
<add input="{HTTP_ORIGIN}" pattern=".+" />
</conditions>
<serverVariables>
<set name="CAPTURED_ORIGIN" value="{C:0}" />
</serverVariables>
<action type="None" />
</rule>
</rules>
<outboundRules>
<rule name="Set-Access-Control-Allow-Origin for known origins">
<match serverVariable="RESPONSE_Access-Control-Allow-Origin"
pattern=".+" negate="true" />
<action type="Rewrite" value="{CAPTURED_ORIGIN}" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>
然后删除任何其他现有代码/配置设置 Access-Control-Allow-Origin: *。
注意:以上是分步指南Enable CORS for specific domains in IIS using URL Rewrite中示例配置文件的修改版本。 .
关于node.js - IIS 中的 CORS 与 Access-Control-Allow-Origin 中的凭据和通配符有关,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42031885/