开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Vuejs和Nodejs的请求资源上不存在'Access-Control-Allow-Origin‘标头

在使用Vue.js作为前端框架和Node.js作为后端服务器时，可能会遇到跨域资源共享（CORS）问题。浏览器出于安全考虑，实施了同源策略，这意味着默认情况下，浏览器只允许从同一源加载资源。如果你的Vue.js应用尝试从不同的源（域名、协议或端口）访问Node.js服务器上的资源，浏览器会阻止这种请求，除非服务器明确允许这种跨域请求。

Access-Control-Allow-Origin 是一个HTTP响应头，它指示浏览器可以从哪些源加载资源。如果这个头不存在或者不包含请求源，浏览器将阻止请求。

要解决这个问题，你需要在Node.js服务器上设置CORS策略。以下是一些常见的方法：

使用Express.js中间件

如果你使用的是Express.js框架，可以使用cors中间件来轻松设置CORS策略。

首先，安装cors包：

npm install cors

然后，在你的Express应用中使用它：

const express = require('express');
const cors = require('cors');
const app = express();

// 允许所有源访问资源
app.use(cors());

// 或者，只允许特定的源访问资源
app.use(cors({
origin: 'http://example.com', // 允许的源
methods: ['GET', 'POST'], // 允许的HTTP方法
allowedHeaders: ['Content-Type', 'Authorization'] // 允许的请求头
}));

app.get('/data', (req, res) => {
res.json({ message: 'This is data from the server.' });
});

app.listen(3000, () => {
console.log('Server is running on port 3000');
});

手动设置响应头

如果你不想使用中间件，也可以在每个路由处理函数中手动设置响应头。

app.get('/data', (req, res) => {
res.setHeader('Access-Control-Allow-Origin', '*'); // 允许所有源
// 或者
// res.setHeader('Access-Control-Allow-Origin', 'http://example.com'); // 只允许特定源

res.json({ message: 'This is data from the server.' });
});

请注意，将*作为Access-Control-Allow-Origin的值会允许任何源访问资源，这可能会带来安全风险。在生产环境中，你应该指定一个明确的源。

使用HTTP代理

在开发环境中，你还可以使用HTTP代理来解决CORS问题。例如，如果你使用Vue CLI创建的项目，可以在vue.config.js文件中配置代理。

module.exports = {
devServer: {
proxy: {
'/api': {
target: 'http://localhost:3000', // Node.js服务器地址
changeOrigin: true,
pathRewrite: { '^/api': '' },
},
},
},
};

这样，当你在Vue.js应用中请求/api/data时，它会被代理到http://localhost:3000/api/data，从而绕过浏览器的CORS限制。

确保在生产环境中仔细配置CORS策略，以保护你的应用免受未经授权的访问。

相关搜索:请求的资源上不存在“Access-Control-Allow-Origin”标头 Nodejs React CORS策略:请求的资源上不存在'Access-Control-Allow-Origin‘标头错误:请求的资源上不存在“Access-Control-Allow-Origin”标头 Reactjs:请求的资源上不存在“Access-Control-Allow-Origin”标头请求的资源上不存在“Access-Control-Allow-Origin”标头(Spring)Flutter:请求的资源上不存在“Access-Control-Allow-Origin”标头 XML Ajax请求的请求资源上不存在“Access-Control-Allow-Origin”标头 Jquery AJAX:请求的资源上不存在“Access-Control-Allow-Origin”标头无法解决请求的资源上不存在“Access-Control-Allow-Origin”标头 Apache Tomcat请求的资源上不存在“Access-Control-Allow-Origin”标头 Haproxy CORS请求的资源上不存在'Access-Control-Allow-Origin‘标头密钥罩中请求的资源上不存在'Access-Control-Allow-Origin‘标头 Laravel 7-请求的资源上不存在'Access-Control-Allow-Origin‘标头请求的资源上不存在“Access-Control-Allow-Origin”标头(FLASK API / ReactJs)启用CORS模块的请求资源上不存在'Access-Control-Allow-Origin‘标头 Rails，请求的资源上没有“Access-Control-Allow-Origin”标头 Runkit -请求的资源上没有“Access-Control-Allow-Origin”标头 Angular 6和Nodejs:请求的资源上没有'Access-Control-Allow-Origin‘头 Node.js中请求的资源上不存在“Access-Control-Allow-Origin”标头 Axios请求已被cors阻止所请求的资源上不存在“Access-Control-Allow-Origin”标头

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

浏览器同源策略与如何解决跨域问题总结

下表给出了与 URL http://store.company.com/dir/page.html 的源进⾏对⽐的示例:

02

第40篇：CORS跨域资源共享漏洞的复现、分析、利用及修复过程

CORS跨域资源共享漏洞与JSONP劫持漏洞类似，都是程序员在解决跨域问题中进行了错误的配置。攻击者可以利用Web应用对用户请求数据包的Origin头校验不严格，诱骗受害者访问攻击者制作好的恶意网站，从而跨域获取受害者的敏感数据，包括转账记录、交易记录、个人身份证号信息、订单信息等等。

01

跨域资源共享CORS漏洞

跨域资源共享(CORS)是一种放宽同源策略的机制，它允许浏览器向跨源服务器，发出 XMLHttpRequest 请求，从而克服了 AJAX 只能同源使用的限制，以使不同的网站可以跨域获取数据，目前已经被绝大多数浏览器支持，并被主流网站广泛部署使用。跨域资源共享 CORS 漏洞主要是由于程序员配置不当，对于 Origin 源校验不严格，从而造成跨域问题，攻击者可以利用 CORS 错误配置漏洞，从恶意网站跨域读取受害网站的敏感信息。

06

脚本错误量极致优化-监控上报与Script error

脚本错误主要有两类：语法错误、运行时错误。监控的方式主要有两种：try-catch、window.onerror。

01

Yii支持多域名cors原理的实现

平常我们遇到跨域问题时，常使用 cors（Cross-origin resource sharin）方式解决。不知你是否注意到，在设置响应头 Access-Control-Allow-Origin 域

03

跟我一起探索 HTTP-跨源资源共享（CORS）

跨源资源共享CORS，是一种基于HTTP头的机制，该机制通过允许服务器标示除了它自己以外的其他源（域、协议或端口），使得浏览器允许这些源访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求，该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。在预检中，浏览器发送的头中标示有 HTTP 方法和真实请求中会用到的头。

03

Golang 跨域

跨域指的是浏览器不能执行其他网站或域名下的脚本。之所以形成跨域，是因为浏览器的同源策略造成的，是浏览器对javascript程序做的安全限制，现在所有支持JavaScript 的浏览器都会使用这个策略。

04

跨域资源共享（CORS）

简单先了解一下CORS，方便我们后续去挖一些CORS的漏洞，最近CORS也是比较火的！

05

什么是 CORS（跨源资源共享）？

现代网页比以往任何时候都使用更多的外部脚本和资产。默认情况下，JavaScript 遵循同源策略，只能调用与运行脚本在同一域中的 URL。那么，我们怎样才能让我们的 JavaScript 支持的页面使用外部脚本呢？

03

跨域问题Access to XMLHttpRequest‘‘from origin ‘‘ has been blocked by CORS..Access-Control-Allow-Origin

Access to XMLHttpRequest at ‘*’ from origin ‘*’ has been blocked by CORS policy: Response to preflight request doesn’t pass access control check: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

01

震惊 | HTTP 在疫情期间把我吓得不敢出门了

在前面两篇文章中我们讲述了 HTTP 的入门，HTTP 所有常用标头的概述，这篇文章我们来聊一下 HTTP 的一些黑科技。

02

对不起，看完这篇HTTP，真的可以吊打面试官

在 HTTP 中，内容协商是一种用于在同一 URL 上提供资源的不同表示形式的机制。内容协商机制是指客户端和服务器端就响应的资源内容进行交涉，然后提供给客户端最为适合的资源。内容协商会以响应资源的语言、字符集、编码方式等作为判断的标准。

02

CORS原理及@koa/cors源码解析

这是浏览器的同源策略所造成的，同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。

04

脚本错误量极致优化：监控上报与 Script error

本文讲述如何通过监控上报、脚本错误量极致优化、跨域请求以及错误信息处理等方法，实现Web性能监控和错误处理，从而提高Web应用的稳定性和可靠性。

00

脚本错误量极致优化-监控上报与 Script error

本文讲述如何通过监控上报、脚本报错、代码规范、安全扫描、性能优化等手段，提升前端项目的稳定性，保障项目的高质量交付。通过分析项目中的主要问题和报错信息，提出了有效的优化方案，包括跨域资源共享、代码规范、错误量统计、性能优化等，具有很高的实用价值。同时，通过错误定位、异常上报、错误统计、代码规范等，实现了全方位的错误管理，提高了项目的稳定性。通过优化脚本错误处理流程，将错误量减少到了极致，大大提高了项目的开发效率和交付质量。

00

UzzzzZ

不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。只有同一个源的脚本才可以赋予dom、读写cookie、session、ajax等操作的权限，例如a.com可以随意调用b.com的接口去修改数据

01

jsonp-反向代理-CORS解决JS跨域问题的个人总结（更新 v2.0）

各个方法都有各自的优缺点，但是目前前端开发方面比较常用的是 jsonp，反向代理，CORS：

02

CORS和JSONP跨域漏洞学习知识点

不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。只有同一个源的脚本才可以赋予dom、读写cookie、session、ajax等操作的权限，例如a.com可以随意调用b.com的接口去修改数据

03

三种对CORS错误配置的利用方法

同源策略（SOP）限制了应用程序之间的信息共享，并且仅允许在托管应用程序的域内共享。这有效防止了系统机密信息的泄露。但与此同时，也带来了另外的问题。随着Web应用程序和微服务使用的日益增长，出于实用目的往往需要将信息从一个子域传递到另一个子域，或者在不同域之间进行传递（例如将访问令牌和会话标识符，传递给另一个应用程序）。

02

不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案

CORS也已经成为主流的跨域解决方案，不过CORF也会引发CSRF，本文先分享第三方的一个前端工具箱全面展示那些浏览器版本支持CORS，由于各家浏览器厂商因为各自原因在不同的版本里支持的标准不同，这个工具小而美，可以清晰的比较不同版本浏览器前端技术兼容性对照表。

04

SpringBoot跨域配置

跨域：指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的，是浏览器对javascript施加的安全限制。

03

浏览器中的跨域问题与 CORS

跨域，这或许是前端面试中最常碰到的问题了，大概因为跨域问题是浏览器环境中的特有问题，而且随处可见，如同蚊子不仅盯你肉而且处处围着你转让你心烦。「你看，在服务器发起 HTTP 请求就不会有跨域问题的」。

03

浏览器中的跨域问题与 CORS

跨域，这或许是前端面试中最常碰到的问题了，大概因为跨域问题是浏览器环境中的特有问题，而且随处可见，如同蚊子不仅盯你肉而且处处围着你转让你心烦。「你看，在服务器发起 HTTP 请求就不会有跨域问题的」。

02

Spring Boot + Vue + Shiro 实现前后端分离、权限控制

本文总结自实习中对项目的重构。原先项目采用Springboot+freemarker模版，开发过程中觉得前端逻辑写的实在恶心，后端Controller层还必须返回Freemarker模版的ModelAndView，逐渐有了前后端分离的想法，由于之前，没有接触过，主要参考的还是网上的一些博客教程等，初步完成了前后端分离，在此记录以备查阅。

03

cors跨域探讨

前端跨域方案很多，jsonp、iframe等等，但是个人觉得，最正宗，最无损的跨域方式还是CORS。 CORS(Cross-origin resource sharing)是一个W3C标准，翻译过来是跨域资源共享。它允许浏览器向跨域（协议、域名、端口任一不相同）服务器发送XMLHttpRequest请求。目前支持所有现代浏览器（>IE10）借阅了阮一峰大神的《跨域资源共享 CORS 详解》，结合自己的理解，说一说自己的CORS的领会。

00

跨域请求传递Cookie问题

前后端完全分离的项目，前端使用Vue + axios，后端使用SpringMVC，容器为Tomcat。使用CORS协议解决跨域访问数据限制的问题，但是发现客户端的Ajax请求不会自动带上服务器返回的Cookie：JSESSIONID。导致每一个Ajax请求在服务端看来都是一个新的请求，都会在服务端创建新的Session（在响应消息头中设置Set-Cookie：JSESSIONID=xxx）。而在项目中使用了Shiro框架，用户认证信息是放在Session中的，由于客户端不会把JSESSIONID返回给服务器端，因此使用Session策略存放数据的方式不可用。

03

CS 可视化: CORS

偶尔，每个开发者都会在控制台中看到那个讨厌的大红色 Access to fetched has been blocked by CORS policy 错误！😬 尽管有一些快速消除此错误的方法，但今天我们不要掉以轻心！相反，让我们看看 CORS 到底在做什么，以及为什么它实际上是我们的朋友 👏🏼

01

Cors跨域(一)：深入理解跨域请求概念及其根因

做Web开发的小伙伴对“跨域”定并不陌生，像狗皮膏药一样粘着几乎每位同学，对它可谓既爱又恨。跨域请求之于创业、小型公司来讲是个头疼的问题，因为这类企业还未沉淀出一套行之有效的、统一的解决方案。

06

ASP.NET WebApi+Vue前后端分离之允许启用跨域请求

这段时间接手了一个新需求，将一个ASP.NET MVC项目改成前后端分离项目。前端使用Vue，后端则是使用ASP.NET WebApi。在搭建完成前后端框架后，进行接口测试时发现了一个前后端分离普遍存在的问题跨域（CORS）请求问题。因此就有了这篇文章如何启用ASP.NET WebApi 中的 CORS 支持。

02

Springboot + Vue + shiro 实现前后端分离、权限控制

前端从后端剥离，形成一个前端工程，前端只利用Json来和后端进行交互，后端不返回页面，只返回Json数据。前后端之间完全通过public API约定。

05

掌握并理解 CORS (跨域资源共享)

咱们从一个例子开始，假设咱们有一个网站，网址为 http://good.com:8000/public:

01

九种实用的前端跨域处理方案(转载非原创)

转载来源:https://www.cnblogs.com/ypSharing/p/corsHanlder.html

00

15 张精美动图全面讲解 CORS

前言：本文翻译自 Lydia Hallie[1] 小姐姐写的 ✋?? CS Visualized: CORS[2]，她用了大量的动图去解释 CORS 这个概念，国内还没有人翻译本文，所以我在原文的理

04

一篇文章教你如何捕获前端错误

JavaScript代码在用户浏览器中执行时，由于一些边界情况、本地环境的不可控等因素，可能会存在js运行时错误。

09

新手对跨域的误解以及Credentials对跨域配置的坑

在学习过程中，跨域似乎很简单，无非就是“当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域”；无非就是“后端加一下跨域的相关响应头即可”。

03

基础 | 理解CORS这一篇就够了

前端爱好者的知识盛宴本文译自：https://medium.com/@baphemot/understanding-cors-18ad6b478e2b “呃。。还行，但不够” 如果你经常跟AJAX call打交道，那么你肯定遇到过下面这个错误。如果你看到这条消息，意味着响应失败了，但你还是能在Console里的Network标签下，看到返回的数据。那么，这里到底是怎么一回事呢？跨源资源共享（CORS）你所遇到的这种行为就是浏览器跨域的实现。考虑到安全问题，在跨域标准化之前，如果你想调用一

02

Chrome 重大更新，CORS 增加了两个新的请求头？

能问出这俩问题，一定没好好看我的公众号，其实之前在多篇文章里都提到过相关的策略解读，

02

跨域问题详解

做过 web 开发的同学，应该都遇到过跨域的问题，当我们从一个域名向另一个域名发送 Ajax 请求的时候，打开浏览器控制台就会看到跨域错误，今天我们就来聊聊跨域的问题。

03

一篇文章教你如何捕获前端错误

随着前端页面承载功能越来越多，用户本地浏览器环境也错综复杂，因此即使有完善的测试，我们也无法保证上线的代码不会出错。在这种场景下，前端页面的监控就成了各个web项目必备的工具。

04

HTTP的同源策略与跨域资源共享（CORS）机制

准确的说，同源策略是指，浏览器内部在发起如下请求时，该来源必须是当前同源的HTTP资源：

02

通信方式进阶

01

Spring Boot + Vue + Shiro 实现前后端分离、权限控制

原先项目采用Springboot+freemarker模版，开发过程中觉得前端逻辑写的实在恶心，后端Controller层还必须返回Freemarker模版的ModelAndView，逐渐有了前后端分离的想法。

01

后端工程师需要了解的跨域知识

产品有多端：机构端，局方端，家长端等。每端都有独立的域名，有的是在PC上访问，有的是通过微信公众号来访问，有的是扫码后H5展现。

01

滴滴前端面试题合集

DNS 服务器中以资源记录的形式存储信息，每一个 DNS 响应报文一般包含多条资源记录。一条资源记录的具体的格式为

00

换一种姿势挖掘CORS漏洞

最近一直在挖CORS配置错误这个问题，但是还没找到像样的案例，就先归纳一下这个漏洞，顺便记录一下学到的新姿势，希望对大家有所帮助

02

Spring Boot + Vue + Shiro 实现前后端分离、权限控制

前端从后端剥离，形成一个前端工程，前端只利用Json来和后端进行交互，后端不返回页面，只返回Json数据。前后端之间完全通过public API约定。

03

Springboot+Vue+shiro实现前后端分离、权限控制

本文总结自实习中对项目对重构。原先项目采用Springboot+freemarker模版，开发过程中觉得前端逻辑写的实在恶心，后端Controller层还必须返回Freemarker模版的ModelAndView，逐渐有了前后端分离的想法，由于之前比没有接触过，主要参考的还是网上的一些博客教程等，初步完成了前后端分离，在此记录必备查阅。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭