被CORS阻止:'Access-Control-Allow-Origin‘标头包含多个值'*,*',Laravel8
CORS(跨源资源共享)是一种安全机制,用于限制Web页面上的脚本对其他域的访问。当浏览器尝试从一个源(域)加载资源到另一个源时,它会检查目标服务器是否允许这种跨源请求。如果服务器没有正确配置CORS策略,浏览器将阻止请求。
基础概念
Access-Control-Allow-Origin 是一个HTTP响应头,用于指示哪些源(域)被允许访问资源。当这个头包含多个值时,浏览器会认为这是一个配置错误,并拒绝请求。
相关优势
- 安全性:通过限制资源的访问来源,可以防止恶意网站读取敏感数据。
- 灵活性:可以根据需要配置允许访问的源,实现细粒度的控制。
类型
CORS策略可以通过多种方式实现,包括:
- 简单请求:满足特定条件的GET、POST等请求。
- 预检请求:对于复杂请求,浏览器会先发送一个OPTIONS请求进行预检。
应用场景
- Web应用:前后端分离的应用中,前端通常部署在不同的域上。
- API服务:提供API服务的服务器需要配置CORS以允许不同源的客户端访问。
遇到的问题及原因
问题:Access-Control-Allow-Origin 标头包含多个值 '*'。
原因:
- 在Laravel中,可能有多个中间件或配置文件尝试设置CORS头,导致冲突。
- 配置不当,例如在多个地方重复设置了相同的头。
解决方法
1. 检查中间件
确保只有一个中间件负责设置CORS头。在Laravel 8中,通常使用 laravel-cors 包来处理CORS。
// app/Http/Kernel.php
protected $middleware = [
// 其他中间件
\Fruitcake\Cors\HandleCors::class,
];2. 配置CORS策略
在 config/cors.php 文件中配置CORS策略:
return [
'paths' => ['api/*'],
'allowed_methods' => ['*'],
'allowed_origins' => ['*'],
'allowed_origins_patterns' => [],
'allowed_headers' => ['*'],
'exposed_headers' => [],
'max_age' => 0,
'supports_credentials' => false,
];3. 自定义中间件(可选)
如果需要更复杂的逻辑,可以创建自定义中间件:
// app/Http/Middleware/CustomCorsMiddleware.php
namespace App\Http\Middleware;
use Closure;
class CustomCorsMiddleware
{
public function handle($request, Closure $next)
{
$response = $next($request);
$response->header('Access-Control-Allow-Origin', '*');
$response->header('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE, OPTIONS');
$response->header('Access-Control-Allow-Headers', 'Content-Type, Authorization');
return $response;
}
}然后在 app/Http/Kernel.php 中注册这个中间件:
protected $routeMiddleware = [
// 其他中间件
'cors' => \App\Http\Middleware\CustomCorsMiddleware::class,
];4. 路由中间件
在路由中使用自定义的CORS中间件:
Route::middleware('cors')->group(function () {
Route::get('/data', [DataController::class, 'index']);
});通过以上步骤,可以有效解决 Access-Control-Allow-Origin 标头包含多个值的问题,确保CORS策略正确配置。
相关·内容
CORS策略已阻止从源'http://localhost:4200‘访问位于'http://localhost:8000/api/objectives’的XMLHttpRequest:' Access-Control-Allow- origin‘标头包含多个值'*,*',但只允许一个值。
浏览 141提问于2021-08-17得票数 1
gateway: - DedupeResponseHeader=Access-Control-Allow-Origin '[/**]': allowedMethods: "*"
allowedHeaders已被CORS策略阻止:“访问-控制-允
浏览 7提问于2022-02-04得票数 4
回答已采纳
登录后,/token端点上重复的“访问-控制-允许-原产地”将导致CORS错误:Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: https:/
浏览 3提问于2020-03-26得票数 3
我有一个简单的AJAX请求,它调用我仍然得到了CORS header ‘Access-Control-Allow-Origin’ does not match ‘(null)’错误。null指的不是Header set Access-Control-Allow-Origin值
浏览 3提问于2017-02-20得票数 3
public function handle(Request $request, Closure $next) header('Access-Control-Allow-OriginX-Auth-Token, Authorization, Origin'); }CORS策略已阻止从源'‘访问位于'’的XMLHttpRequest:'
浏览 128提问于2021-06-01得票数 0
回答已采纳
1回答
Failed to load https://my.api/echo: Response to preflight request }
log.Fatal(http.ListenAndServe(fmt.Sprintf(":%d", port), handlers.CORS
浏览 2提问于2018-01-27得票数 3
1回答
在Postman应用程序中,有没有一种方法可以在服务器端设置CORS?我想将其设置为*,但我一直收到服务器返回的随机标头,并出现以下错误:“Access-Control-Allow-Origin”标头包含多个值',*',但只允许一个值。
浏览 6提问于2017-08-09得票数 0
1回答
at 'http://127.0.0.1:8000/api/auth/login' from origin doesn't pass access control check: The 'Access-Control-Allow-Origin
浏览 18提问于2022-12-04得票数 0
1回答
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource‘*, *’是什么意思?Header set Access-Control-Allow-Origin "*"
浏览 0提问于2022-05-11得票数 0
我有一个html格式的登录页面,并使用了一个Js函数来调用api。代码是 var username = document.getElementById("username").value; var params = JSON.stringify({ username: username, password: password });
var xmlhttp = n
浏览 0提问于2017-01-29得票数 0
CORS策略阻止了“”:对飞行前请求的响应没有通过访问控制检查:“访问控制-允许-原产地”标头包含多个值'*,*',但只允许一个。让服务器用有效值发送标头,或者,如果不透明的响应满足您的需要,则将请求的模式设置为“no- CORS”,以获取禁用CORS的资源。
当我使用其他域发布请求时,我将如何解决问题!!
浏览 11提问于2022-05-26得票数 1
回答已采纳
我知道这个问题可以通过在java rest服务中添加CORS来解决。但是,是否可以通过改变角度侧的某些东西来实现呢?someurl/RestWeb/getPerson' XMLHttpRequest at from origin 'http://localhost:4200' has been blocked by CORSpolicy: The 'Access-Control-Allow-Origin' header contains multipl
浏览 31提问于2021-02-20得票数 1
回答已采纳
一开始,我收到了以下CORS违规行为:
Header always set Access-Control-Allow-Origin "*"
从源“”获取“”的访问已被CORS策略阻止:对飞行前请求的响应不通过访
浏览 0提问于2020-02-23得票数 0
回答已采纳
2回答
跨域请求块
、、
跨域请求被阻止:同源策略不允许读取的远程资源。(原因: CORS印前检查通道中的CORS标头“Access-Control-Allow-Headers”中缺少标记“Access-Control-Allow-origin”)。跨域请求被阻止:同源策略不允许读取的远程资源。(原因: CORS请求未成功)。我正在使用下面的代码 headers: new HttpHeaders
浏览 22提问于2019-07-23得票数 2
回答已采纳
1回答
CORS报头响应两次
、、、
从源'x‘到'y’的访问已被CORS策略阻止:‘访问控制-允许-原产地’标头包含多个值'x,x',但只允许一个。
对于Micronaut,我做了以下设置。micronaut: cors:
enabled:
浏览 1提问于2020-01-31得票数 1
2回答
问题是这个函数被CORS阻塞了:我还在Firebase中主持了一个项目。但它也不起作用。被相同的错误阻塞。我的服务器代码:
exports.myfunction = functions.http
浏览 0提问于2019-10-16得票数 2
4回答
我正在尝试使用CORS将文件上传到不同域上的服务,但由于来源被拒绝,它们一直失败。据我所知,使用了正确的标头来实现这一点。Access-Control-Allow-Headers:Origin, Authorization, Content-TypeAccess-Control-Allow-Origin
浏览 3提问于2012-11-20得票数 6
如何在不同的浏览器中确定当前的CORS“状态”?例如,我有两个不同的访问控制-允许-源头被设置的情况,我想知道现在应用哪一个。
通常,在这种情况下,我会阅读规范,但是我找不到这个特定的情况。
浏览 0提问于2021-09-15得票数 0
回答已采纳
这些API阻止我从一些API获取数据,而对另一些API有效?
浏览 1427提问于2020-07-23得票数 0
回答已采纳
我有一个ASP.NET Core 3.1应用程序接口后端,它已经被配置为允许我的web应用程序使用CORS --见下文。
我现在正在用React Native构建一个移动应用程序。
浏览 14提问于2020-05-12得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
