使用Ajax XSS問題GET請求

我有以下的咖啡腳本執行某種登錄：使用Ajax XSS問題GET請求

signIn: (url, completion) -> 
    $.ajax 
    method: 'GET' 
    url: url 
    dataType: 'json' 
    error: (jqXHR, status, errorThrown) -> 
     completion false, errorThrown 
    success: (data)-> 
     completion true, data.Identifier

當我檢查在瀏覽器中給定的URL，我得到一個有效的JSON響應返回。

但是，當使用JavaScript執行此調用時，控制檯中出現以下錯誤。請注意，我已經改變了網址迷惑：

XMLHttpRequest cannot load http://my.servicedomain.com/session/someIdentifier?access_token=secret. 
Origin http://html.server.net is not allowed by Access-Control-Allow-Origin.

這些都是我的頭，這是我從my.servicedomain.com服務器獲取：

HTTP/1.1 200 OK 
Cache-Control: no-cache 
Pragma: no-cache 
Content-Length: 1417 
Content-Type: application/json; charset=utf-8 
Expires: -1 
Server: Microsoft-IIS/8.0 
Access-Control-Allow-Origin: * 
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS 
Access-Control-Allow-Headers: Authorization 
Server: Microsoft-IIS/8.0 
X-AspNet-Version: 4.0.30319 
X-Powered-By: ASP.NET 
X-Powered-By: ASP.NET 
Access-Control-Allow-Origin: * 
Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS 
Access-Control-Allow-Headers: Authorization 
Date: Wed, 10 Jul 2013 14:24:35 GMT 
Vary: Accept-Encoding 
Content-Encoding: gzip 
Connection: Keep-Alive

爲什麼會出現這種錯誤，即使我有Access-Control-Allow-Origin: *在響應頭？

來源

2013-07-10 Besi

我剛剛想出了自己的答案。我知道我的回覆中有重複的標題，但我認爲這不會成爲問題。

它看起來像這樣是根據CORS Spec一個問題：

如果響應包括零個或一個以上的訪問控制允許來源標頭值，則返回失敗和終止此算法。

這也在該SO線程描述：

Will duplicate "Access-Control-Allow-Origin: *" headers break CORS?

來源

2013-07-10 14:32:50 Besi

使用Ajax XSS問題GET請求

回答

相關問題