#1 楼
这是使用curl调试CORS请求的方法。使用cUrl发送常规CORS请求:
curl -H "Origin: http://example.com" --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
-H "Origin: http://example.com"
标志是第三方发出请求的域。替换为您的域中的任何域。--verbose
标志将打印出整个响应,以便您可以看到请求和响应标头。我上面使用的网址是对支持CORS的Google API的示例请求,但您可以用正在测试的任何url代替。
响应应包含
Access-Control-Allow-Origin
标头。使用发送预检请求cUrl:
curl -H "Origin: http://example.com" \
-H "Access-Control-Request-Method: POST" \
-H "Access-Control-Request-Headers: X-Requested-With" \
-X OPTIONS --verbose \
https://www.googleapis.com/discovery/v1/apis?fields=
这看起来与常规CORS请求类似,但有一些补充:
-H
标志将其他预检请求标头发送到server -X OPTIONS
标志指示这是一个HTTP OPTIONS请求。如果预检请求成功,则响应应包含Access-Control-Allow-Origin
,Access-Control-Allow-Methods
和Access-Control-Allow-Headers
响应标头。如果预检请求未成功,则不应显示这些标头,否则HTTP响应将不为200。还可以使用
User-Agent
标志指定其他标头,例如-H
。 #2 楼
更新的答案涵盖了大多数情况curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
将http://www.example.com/替换为要测试的URL。
如果响应中包含
Access-Control-Allow-*
,则您的资源支持CORS。关于替代答案的理由
我时不时地在Google上搜索此问题,并且接受的答案永远不会是我的答案需要。首先,它会打印很多文本的响应正文。添加
--head
仅输出标头。其次,在测试S3 URL时,我们需要提供其他标题-H "Access-Control-Request-Method: GET"
。 希望可以节省时间。
评论
如果我在没有设置原点的情况下卷曲并且可以返回响应和标头(包括access-control-allow-origin标头),这是否意味着我设置了错误的CORS? curl -X GET'endpoint.com'-H'Cache-Control:no-cache'--head
– Jun711
18年7月13日在0:23
这依赖于--head使curl可以打印出标题,但也可以使curl发出HEAD请求而不是GET。根据您要测试的内容,您可能需要发出GET请求。您可以通过添加--IXGET来实现。
–艾丹·菲茨帕特里克(Aidan Fitzpatrick)
18/12/5在16:11
这不是倒退吗?来源不应该是example.com吗?
–达斯汀·英格拉姆(Dustin Ingram)
19年4月22日在18:43
#3 楼
看起来像这样:curl -I http://example.com
在返回的标题中查找
Access-Control-Allow-Origin: *
评论
请记住,如果需要在API请求中提供Cookie之类的凭据,则*不起作用。在这种情况下,Access-Control-Allow-Origin响应以及Access-Control-Allow-Credentials中需要FQDN:true。尽管OP没有将凭证请求指定为要求,所以*适用于任何未经身份验证的请求。
– GameSalutes
19年1月30日在18:04
#4 楼
下面的bash脚本“ corstest”对我有用。它基于上述Jun的评论。用法
corstest [-v]网址
示例
./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *
阳性结果显示为绿色
./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS
阴性结果显示为红色和蓝色
-v选项将显示完整的卷曲标题
corstest
#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139
#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='3[0;34m'
red='3[0;31m'
green='3[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='3[0m'
#
# a colored message
# params:
# 1: l_color - the color of the message
# 2: l_msg - the message to display
#
color_msg() {
local l_color=""
local l_msg=""
echo -e "${l_color}$l_msg${endColor}"
}
#
# show the usage
#
usage() {
echo "usage: [-v] q4312079q url"
echo " -v |--verbose: show curl result"
exit 1
}
if [ $# -lt 1 ]
then
usage
fi
# commandline option
while [ "" != "" ]
do
url=
shift
# optionally show usage
case $url in
-v|--verbose)
verbose=true;
;;
esac
done
if [ "$verbose" = "true" ]
then
curl -s -X GET $url -H 'Cache-Control: no-cache' --head
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)
if [ $? -eq 0 ]
then
color_msg $green "$url $origin"
else
color_msg $red "$url does not support CORS"
color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi
评论
添加Origin标头会更好。 -H'origin:mydomain.xyz'
–巴斯
20 Mar 16 '20在21:32
评论
该页面似乎没有返回任何CORS标头,对吗?
– Janus Troelsen
13年2月24日在20:01
为了查看实际的标题,您需要添加--verbose选项,如上所述。
– monsur
13年2月25日在14:24
或--head:curl -H“来源:http://example.com” --head https://www.googleapis.com/discovery/v1/apis\?fields\=
– John Bachir
2014年4月6日5:30
使用--include查看标题。
– Mika Tuupola
16年2月18日在16:18
对于S3,仅在给出正确方法的情况下才添加相应的标题,您可以使用curl -H“ Access-Control-Request-Method:GET” -H“来源:http://example.com。 com”-我https://s3.amazonaws.com/your-bucket/file。
–约沙
16-3-2在2:13