Access-Control-Allow-Origin '*' не разрешен / работает с Apache2
Я пытаюсь подключиться к hood.ie через Javascript:
hoodie = new Hoodie('http://example.com:6001');
Но тогда получаю ошибку: A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'xxx' is therefore not allowed access.
С:
hoodie = new Hoodie('http://example.com');
дает 404...
Я могу подключиться к localhost:6001 а также:6002 для public/admin, поэтому порты работают (также для external example.com)
Но в devconsole я получаю:
OPTIONS: http://example.com:6001/_api/_session Подстановочный знак "*" нельзя использовать в 'Access-Control-Allow-Origin' заголовок, когда флаг учетных данных имеет значение true. Происхождение " http://example.com/", следовательно, не допускается. `
Я настроил Apache2:
<VirtualHost *:80>
DocumentRoot /var/www
Header set Access-Control-Allow-Origin *
Header add Access-Control-Allow-Headers "origin, content-type"
Header always set Access-Control-Allow-Methods "POST, GET, PUT, DELETE, OPTIONS"
Header set Access-Control-Allow-Credentials "false"
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Credentials "false"
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>
И попробовал лишнее:
<VirtualHost *:6001>
Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Credentials "false"
</VirtualHost>
Пытался:
Header set Access-Control-Allow-Credentials false
Header set Access-Control-Allow-Credentials 'false'
Header set Access-Control-Allow-Credentials true
...etc
Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Origin "example.com"
Перепробовал все возможные варианты, но все равно получаю такую же ошибку...
Но мне интересно, если я должен установить его в другом месте, потому что www каталог :6001 service, находится где-то в моей домашней папке, не в var / www, но все еще работает, я понятия не имею, как apache обрабатывает это, или знает о местоположении, или если hood.ie запускает свой собственный веб-сервис.
2 ответа
Я считаю, что это должно быть просто
Header set Access-Control-Allow-Origin "*"
без других флагов Access-Control-*, как описано на enable-cors.org.
Я бы предположил, что "Hoodie" использует XMLHttpRequest, который отправляет файлы cookie (withCredentials = "true"), и, следовательно, ваш браузер отклоняет ответ от сервера, так как в заголовке разрешенного источника есть подстановочный знак.