Eu tenho uma configuração envolvendo
Servidor front-end (Node.js, domínio: localhost: 3000) <---> Back-end (Django, Ajax, domínio: localhost: 8000)
Navegador <- webapp <- Node.js (servir o aplicativo)
Navegador (webapp) -> Ajax -> Django (servir solicitações POST ajax)
Agora, meu problema aqui é com a configuração do CORS, que o webapp usa para fazer chamadas do Ajax para o servidor back-end. No chrome, eu continuo recebendo
Não é possível usar curinga no Access-Control-Allow-Origin quando o sinalizador de credenciais for verdadeiro.
também não funciona no Firefox.
Minha configuração do Node.js é:
var allowCrossDomain = function(req, res, next) {
res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
res.header('Access-Control-Allow-Credentials', true);
res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
next();
};
E no Django eu estou usando esse middleware junto com isso
O webapp faz solicitações da seguinte forma:
$.ajax({
type: "POST",
url: 'http://localhost:8000/blah',
data: {},
xhrFields: {
withCredentials: true
},
crossDomain: true,
dataType: 'json',
success: successHandler
});
Portanto, os cabeçalhos de solicitação que o aplicativo da web envia se parecem com:
Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"
E aqui está o cabeçalho da resposta:
Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json
Onde eu estou errando?!
Editar 1: eu estou usando chrome --disable-web-security
, mas agora quero que as coisas realmente funcionem.
Edição 2: Resposta:
Então, solução para mim django-cors-headers
config:
CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)
http
, é /
o final. Suponho que omitir o http possa funcionar, mas eu não trabalho nisso há alguns anos, então não sei o que funciona agora!