已被CORS策略阻止:“Access Control Allow Origin”标头包含多个值“*,*”,但只允许一个值。
时间: 2024-10-11 09:12:30 浏览: 28
Allow CORS: Access-Control-Allow-Origin-crx插件
"已被CORS策略阻止"是指在浏览器实施跨源资源共享(Cross-Origin Resource Sharing, CORS)规则时遇到的问题。CORS是一种安全机制,用于限制来自不同源的Web请求,防止恶意网站对用户的敏感数据进行访问。它通过`Access-Control-Allow-Origin`标头来控制哪些来源可以发起跨域请求。
当标头中有多个星号`*`,通常表示允许所有源进行跨域请求。然而,标准规定这个头部应该明确指定一个或多个特定的源,而不是两个星号。如果服务器配置了多个星号,浏览器会认为这是一个错误,并拒绝响应,导致跨域请求失败。
正确的做法应该是设置一个或几个具体的源域名,例如:
```javascript
Access-Control-Allow-Origin: http://example.com, https://subdomain.example.com
```
或者使用通配符模式,如`*`,但仅限于在服务器能够验证请求的真实来源(比如使用`HTTP Access-Control-Allow-Credentials: true`配合`Origin`头部),且出于安全原因时才这样做。
阅读全文