文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >为什么没有在雀巢应用中应用CORS?

为什么没有在雀巢应用中应用CORS?
EN

Stack Overflow用户
提问于 2022-09-25 14:27:35
回答 1查看 102关注 0票数 -1

我为Nestjs的应用程序做了这个设置

代码语言:javascript
复制
const globalPrefix = 'api';
  const app = await NestFactory.create(AppModule);
  const config = app.get<ConfigService>(ConfigService);
  const port = config.get('API_PORT');
  const allowedCors = config.get('CORS_ORIGINS').split(',');

  app.enableCors({ origin: allowedCors });
  app.setGlobalPrefix(globalPrefix);
  app.useGlobalPipes(new ValidationPipe());
  app.use(helmet());
  app.use(compression());
  app.use(cookieParser());
  // app.use(csurf({ cookie: true }));
  app.use(
    rateLimit({
      windowMs: 15 * 60 * 1000,
      max: config.get('ENV') === 'development' ? Infinity : 100,
    }),
  );

允许的cors只是前端应用程序的一个链接,但是每当我从另一个来源尝试它时,它就会通过。我做错了什么?

响应头如下所示:

代码语言:javascript
复制
HTTP/1.1 404 Not Found
Server: nginx/1.18.0 (Ubuntu)
Date: Sun, 25 Sep 2022 14:44:13 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 241
Connection: keep-alive
Vary: Origin, Accept-Encoding
Content-Security-Policy: default-src 'self';base-uri 'self';block-all-mixed-content;font-src 'self' https: data:;form-action 'self';frame-ancestors 'self';img-src 'self' data:;object-src 'none';script-src 'self';script-src-attr 'none';style-src 'self' https: 'unsafe-inline';upgrade-insecure-requests
Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-origin
Cross-Origin-Resource-Policy: same-origin
X-DNS-Prefetch-Control: off
Expect-CT: max-age=0
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
Origin-Agent-Cluster: ?1
X-Permitted-Cross-Domain-Policies: none
Referrer-Policy: no-referrer
X-XSS-Protection: 0
X-RateLimit-Limit: 100
X-RateLimit-Remaining: 97
X-RateLimit-Reset: 1664117909
typescript
cors
nestjs
EN

回答 1

Stack Overflow用户

发布于 2022-09-25 14:58:49

显然是在邮递员中完成的,但当我从浏览器发出GET请求时(只需复制和粘贴get请求的url ),它也会通过。

我想你可能误解了CORS。Postman不呈现任何交互式脚本,当您在浏览器地址栏中发布URL时,该请求不是跨域请求。

CORS不适用于直接主动发起的GET请求。CORS是限制浏览器中跨域请求的浏览器屏障.

因为所有内容都设置为same-origin,这意味着只有您自己的站点可以通过浏览器启动的请求访问您自己的站点。

票数 -1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/73845274

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档