CORS-Fehler
Cross-Origin Resource Sharing (CORS) ist ein Standard, der es einem Server ermöglicht, die Same-Origin-Policy zu lockern. Dies wird verwendet, um einige Cross-Origin-Anfragen explizit zuzulassen, während andere abgelehnt werden. Zum Beispiel könnte es notwendig sein, bestimmte Beschränkungen zu lockern, wenn eine Seite einen einbettbaren Dienst bietet. Das Einrichten einer solchen CORS-Konfiguration ist nicht unbedingt einfach und kann einige Herausforderungen mit sich bringen. Auf diesen Seiten werden wir einige häufige CORS-Fehlermeldungen und deren Behebung betrachten.
Wenn die CORS-Konfiguration nicht korrekt eingerichtet ist, wird die Browser-Konsole einen Fehler anzeigen wie zum Beispiel "Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at [some site]", was darauf hinweist, dass die Anfrage aufgrund eines Verstoßes gegen die CORS-Sicherheitsregeln blockiert wurde. Dies muss jedoch nicht unbedingt ein Einrichtungsfehler sein. Es ist möglich, dass die Anfrage tatsächlich absichtlich durch die Webanwendung des Benutzers und den externen Dienst blockiert wird. Soll jedoch der Endpunkt verfügbar sein, ist eine Fehlersuche notwendig, um erfolgreich zu sein.
Identifizierung eines CORS-Problems
Um das zugrunde liegende Problem mit der CORS-Konfiguration zu verstehen, müssen Sie herausfinden, welche Anfrage fehlerhaft ist und warum. Diese Schritte können Ihnen dabei helfen:
- Navigieren Sie zur betreffenden Website oder Web-App und öffnen Sie die Entwickler-Tools.
- Versuchen Sie nun, die fehlerhafte Transaktion zu reproduzieren und überprüfen Sie die Konsole, ob Sie eine CORS-Fehlermeldung sehen. Diese könnte in etwa so aussehen:
Der Text der Fehlermeldung wird in etwa folgendermaßen lauten:
Cross-Origin Request Blocked: The Same Origin Policy disallows reading the remote resource at https://some-url-here. (Reason: additional information here).
Hinweis: Aus Sicherheitsgründen sind spezifische Details darüber, was bei einer CORS-Anfrage schiefgelaufen ist, nicht im JavaScript-Code verfügbar. Der Code weiß nur, dass ein Fehler aufgetreten ist. Um zu bestimmen, was genau schiefgelaufen ist, müssen Sie die Details in der Konsole des Browsers nachschlagen.
CORS-Fehlermeldungen
Die Konsole von Firefox zeigt Nachrichten an, wenn Anfragen aufgrund von CORS fehlschlagen. Ein Teil des Fehlertests ist eine "Reason"-Nachricht, die zusätzliche Einsicht bietet, was schiefgelaufen ist. Die Grundnachrichten sind unten aufgelistet; klicken Sie auf die Nachricht, um einen Artikel zu öffnen, der den Fehler im Detail erklärt und mögliche Lösungen bietet.
- Reason: CORS disabled
- Reason: CORS request did not succeed
- Reason: CORS header 'Origin' cannot be added
- Reason: CORS request external redirect not allowed
- Reason: CORS request not http
- Reason: CORS header 'Access-Control-Allow-Origin' missing
- Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz'
- Reason: Credential is not supported if the CORS header 'Access-Control-Allow-Origin' is '*'
- Reason: Did not find method in CORS header 'Access-Control-Allow-Methods'
- Reason: expected 'true' in CORS header 'Access-Control-Allow-Credentials'
- Reason: CORS preflight channel did not succeed
- Reason: invalid token 'xyz' in CORS header 'Access-Control-Allow-Methods'
- Reason: invalid token 'xyz' in CORS header 'Access-Control-Allow-Headers'
- Reason: missing token 'xyz' in CORS header 'Access-Control-Allow-Headers' from CORS preflight channel
- Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed