同源策略禁止读取位于 https://bm.kehuoa.com/api/auth/login 的远程资源。

最新推荐文章于 2024-08-23 18:57:37 发布
最新推荐文章于 2024-08-23 18:57:37 发布
阅读量3.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/way1001/article/details/90722722
版权
博客内容涉及一个跨域资源共享(CORS)的问题,具体表现为Chrome浏览器因Access-Control-Allow-Origin头设置不正确而阻止了从https://www.kehuoa.com到https://bm.kehuoa.com/api/auth/login的XMLHttpRequest请求。火狐浏览器也给出了同源策略的禁止读取远程资源的错误。博主尝试通过在宝塔面板的Nginx配置中添加'add_header Access-Control-Allow-Origin *;'来解决,但问题依然存在,最终发现是Chrome浏览器的插件拦截导致的错误。
摘要由CSDN通过智能技术生成

chrome报错
Access to XMLHttpRequest at ‘https://bm.kehuoa.com/api/auth/login’ from origin ‘https://www.kehuoa.com’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: The ‘Access-Control-Allow-Origin’ header contains multiple values ‘http://evil.com/, *’, but only one is allowed.
火狐报错
同源策略禁止读取位于 https://bm.kehuoa.com/api/auth/login 的远程资源。

宝塔nginx配置
server
{
listen 80;
listen 443 ssl http2;
listen [::]:443 ssl http2;
listen [::]:80;
server_name www.kehuoa.com;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/www.kehuoa.com/;

#SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
#error_page 404/404.html;
#HTTP_TO_HTTPS_START
if ($server_port !~ 443){
    rewrite ^(/.*)$ https://$host$1 permanent;
}
#HTTP_TO_HTTPS_END
ssl_certificate    /etc/letsencrypt/live/www.kehuoa.com/fullchain.pem;
ssl_certificate_key    /etc/letsencrypt/live/www.kehuoa.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
error_page 497  https://$host$request_uri;



#SSL-END

#ERROR-PAGE-START  错误页配置,可以注释、删除或修改
error_page 404 /404.html;
error_page 502 /502.html;
#ERROR-PAGE-END

#PHP-INFO-START  PHP引用配置,可以注释或修改
include enable-php-00.conf;
#PHP-INFO-END

#REWRITE-START URL重写规则引用,修改后将导致面板设置的伪静态规则失效
include /www/server/panel/vhost/rewrite/www.kehuoa.com.conf;
#REWRITE-END

#禁止访问的文件或目录
location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
{
    return 404;
}

#一键申请SSL证书验证目录相关设置
location ~ \.well-known{
    allow all;
}

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
    expires      30d;
    error_log off;
    access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    access_log /dev/null;
}
access_log /dev/null;
}
location ~ .*\.(js|css)?$
{
    expires      12h;
    error_log off;
    location ~
最低0.47元/天 解锁文章
way1001
关注
拦截跨源请求同源策略禁止读取位于 http://localhost:9001/eduservice/chapter/getChapterVideo18 的远程资源。(原因:CORS 头缺少 'Ac...
牧牛人Alec
08-11 1788
浏览器控制台报错信息如下: 已拦截跨源请求同源策略禁止读取位于 http://localhost:9001/eduservice/chapter/getChapterVideo18 的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 已拦截跨源请求同源策略禁止读取位于 http://localhost:9001/eduservic...
BM00014——|bookmarks|基于HydraDDOS模拟黑客暴力破解linux用户名和密码/设置防御规则|
yanqi_vip
11-28 6704
一、Hydra软件概念剖析 Hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码。 Hydra中文翻译为:九头蛇,它是一款爆破神器。可以对多种服务的账号和密码进行爆破,包括Web登录、数据库、SSH、FTP等服务。 Hydra支持Linux、Windows、Mac平台安装和部署,部署方法和步骤也非常简单,其中Kali Linux中自带Hydra。Hydra官 网:http://www.thc.org/thc-hydra 可支持AFP, Cisco AAA, Cisco auth,
解决{已拦截跨源请求同源策略禁止读取位于 xxx 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-O)}
qq_51435233的博客
02-02 2万+
看到CORS 头缺少 'Access-Control-Allow-O这个就知道自己跨域了,跨域是指你违背了同源策略同源策略规定了三个东西一致:协议名、主机名、端口号。 比如:http://localhost:8080/发送ajax请求到http://localhost:8090/服务器,服务器收到了请求,并把数据返回给http://localhost:8080/,但是流浪器没有进一步的给你,因为发现这哥们跨域了,算了,这数据我握在手里了,不给你了,这就是跨域。(这里一定要注意:请求发了,服务器收了,还返
解决“Access to XMLHttpRequest at ‘XXX’ from origin ‘http://localhost’ has been blocked by CORS policy”
qq_34419312的博客
08-23 6206
解决“Access to XMLHttpRequest at ‘XXX’ from origin ‘http://localhost’ has been blocked by CORS policy”
Firebug: 已拦截跨源请求同源策略禁止读取位于XXX的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-
热门推荐
xlxxcc的专栏
01-18 10万+
第一种,就是在被请求的程序中添加HTTP头,即CORS跨域(跨域资源共享,Cross-Origin Resource Sharing)如: Response.Headers.Add("Access-Control-Allow-Origin", "*"); // JSON { 'Access-Control-Allow-Origin': '*', } // HTML <meta http-equ
已阻止跨源请求:同源策略禁止读取位于
星马殇
09-17 3万+
解决方法--由于我的是PHP项目,在第二个页面/方法中,就是被请求的方法加入如下代码:Header("Access-Control-Allow-Origin: * ");Header("Access-Control-Allow-Methods: POST, GET, OPTIONS, PUT, DELETE");再试就OK了第一个页面用 ajax 同一网段内请求第二个页面时,200成功了,但浏览器...
同源策略禁止读取位于_浏览器同源策略
weixin_39644139的博客
11-20 716
同源策略是浏览器安全的基石,它限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互,本文主要介绍同源策略的各个方面。概述1995年,同源策略由Netscape公司引入浏览器,目前所有的浏览器都实行这个策略。定义同源指的是一下相同:协议相同:同为http或https域名相同端口相同约束允许跨域写操作(Cross-origin writes)。例如链接,重定向以及表单提交。特定少数的HTT...
拦截跨源请求同源策略禁止读取位于XXXXXXXXXXXXXXXX/demo_test.txt 的远程资源。(原因:CORS 请求不是 http)
微电子学与固体电子学-俞驰
12-22 8478
完整问题复现如下: 已拦截跨源请求同源策略禁止读取位于XXXXXXXXXXXXXXXX/demo_test.txt 的远程资源。(原因:CORS 请求不是 http) 原始代码index.html在附录中 #############################################################################################...
拦截跨源请求同源策略禁止读取位于 http:**** 的远程资源。(原因:CORS 头缺少 ‘Access-Control-A
徊忆羽菲
03-12 1万+
Access to fetch at 'https://www.baidu.com/' from origin 'http://www.baidu.com' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*, *', but only one is allowed. Have the server send the header with a valid
Deno开发REST API实战
板三的梦
09-05 2605
从Deno基础知识、环境搭建,到常用第三方框架或模块,一步步学习Deno开发REST API。涉及Oak、TypeORM、安全、校验、测试等
DRBD9用户指南
andy-chenqi
05-06 1382
DRBD9用户指南 目录 请先看这个. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 DRBD简介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2023HW漏洞POC/EXP、情报汇总知识库(0820更新)
lurenjia404的博客
08-21 1925
分析结论:木马下载器HW总结模板一2023年,与往年的护网“划水”的角色不同 ,领导鼓励(命令)我今年要扛起写护网总结报告的大旗。作为一线“工具人”,写总结材料真的很头疼,相信很多人和我都有同感。于是在护网开始就开始着手准备总结材料,做到未雨绸缪,尤其是4月护网结束后,下面还有省级、市级护网,以及7月的建党100周年的安保,估计每次都将会少不了总结报告。特从网上搜集了总结模板,分享给大家。由于每家企业防护手段不一、组织架构不一,并且以下案例未必真实,所以完全照抄的可能性不大,所以仅供参考~~~
拦截跨源请求同源策略禁止读取位于 file:///modify-table 的远程资源。(原因:CORS 请求不是 http)续上一篇文章的解决方法
qq_63170044的博客
06-24 854
这个错误是由于CORS(跨源资源共享)策略导致的,因为浏览器不允许前端代码从file:///协议访问。为了避免这个问题,你需要使用HTTP服务器来提供HTML文件。你可以使用Node.js中的Express来同时提供HTML文件和处理API请求。以下是完整的示例,包括提供HTML文件的部分。
拦截跨源请求同源策略禁止读取位于 http://localhost:8080/*的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)。
青春不流名
05-04 3万+
拦截跨源请求同源策略禁止读取位于 http://localhost:8080/*的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。
拦截跨源请求同源策略禁止读取位于 http://xxx...aliyuncs.com/ 的远程资源。(原因:CORS 头缺少 ‘Access-Control-Allow-Origin‘)
H_define的博客
05-08 3166
进入阿里云官网,进入OSS控制台,在Bucket 列表中选择你使用的Bucket。点击左侧的数据安全,跨域设置,创建跨域规则。原因:在阿里云终端没有设置跨域规则。再次尝试上传文件,成功。
同源策略禁止读取位于_Kafka 入门--数据日志、副本机制和消费策略
weixin_39628551的博客
12-03 59
一、Kafka 数据日志1.主题 Topic  Topic 是逻辑概念。  主题类似于分类,也可以理解为一个消息的集合。每一条发送到 Kafka 的消息都会带上一个主题信息,表明属于哪个主题。  Kafka 的主题是支持多用户订阅的,即一个主题可以有零个、一个或者多个消费者来订阅该主题的消息。2.分区 Partition1)分区原因方便集群扩展,因为一个 Topic 由多个 Partition 组...
拦截跨源请求同源策略禁止读取位于 http:**** 的远程资源。(原因:CORS 头缺少 'Access-Control-A
qq_41377914的博客
01-27 4万+
拦截跨源请求同源策略禁止读取位于 http*****的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。 CORS一般不需要在浏览器配置,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段,Origin字段用来说明,本次请求来自哪个源(协议 + 域名 + 端口)。  服务器根据这个值,决定是否同意这
拦截跨源请求同源策略禁止读取位于 file:///c:/Users/%E6%9D%8E%E5%AE%B6%E8%B1%AA/Desktop/test/data.json 的远程资源
qq_63170044的博客
04-07 1338
出现这个问题是因为浏览器的同源策略(Same-Origin Policy)限制了从一个源(origin)加载的文档或脚本与另一个源的资源进行交互。同源策略是浏览器的一个安全特性,用于防止恶意脚本访问和修改其他网站的内容。在您的例子中,您正在尝试通过 Fetch API 从本地文件系统(file:/// 协议)加载一个 JSON 文件。由于 Fetch API 是基于 HTTP 的,而 file:/// 协议并不是 HTTP,因此浏览器将阻止这种跨源请求
宝塔/Nginx/WebSocket
k_z_j的博客
05-05 1952
选择网站 ->设置->反向代理->没有就添加一个,有就直接点配置文件。记录下,宝塔配置默认wss无法连接。
php实现curl https://login.microsoftonline.com/common/saml2 登陆
最新发布
09-14
在PHP中使用cURL库实现与Microsoft Azure AD的SAML 2.0登录过程,通常涉及以下几个步骤: 1. 初始化cURL会话。 2. 设置cURL选项,包括URL、请求方法、头部信息、POST字段等。 3. 发送请求并获取响应。 4. 关闭cURL会话。 以下是一个简化的示例,展示如何使用PHP的cURL功能向Microsoft Azure AD发送登录请求: ```php <?php // 初始化cURL会话 $ch = curl_init(); // 设置请求的URL curl_setopt($ch, CURLOPT_URL, "https://login.microsoftonline.com/common/saml2"); // 设置请求方法为POST curl_setopt($ch, CURLOPT_POST, true); // 设置POST字段(例如用户名和密码) // 注意:实际应用中,SAML认证不需要直接在URL中提交用户名和密码,而是需要构建一个SAML请求 // 这里仅为示例,具体情况需要根据实际认证协议处理 $postData = http_build_query(array( 'username' => 'your_username', 'password' => 'your_password' )); curl_setopt($ch, CURLOPT_POSTFIELDS, $postData); // 设置请求头部信息,需要包括内容类型和接受类型等 curl_setopt($ch, CURLOPT_HTTPHEADER, array( 'Content-Type: application/x-www-form-urlencoded', 'Accept: */*' )); // 执行cURL请求并获取响应 $response = curl_exec($ch); // 检查是否有错误发生 if (curl_errno($ch)) { echo 'cURL error: ' . curl_error($ch); } else { // 打印服务器响应 echo $response; } // 关闭cURL会话 curl_close($ch); ?> ``` 请注意,上面的代码仅用于说明如何使用cURL来发送HTTP请求,并不适用于实际的SAML 2.0登录流程,因为SAML认证流程涉及到构建和解析SAML请求和响应,这些通常需要使用专门的库来处理,而不是简单的POST请求。 对于实际的SAML认证,你需要根据SAML协议构造认证请求,处理SAML响应,并从中解析出所需的令牌信息,通常需要使用如`OneLogin_Saml2\Auth`等专门的库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值