Eu acredito que deveria ser apenas:
Header set Access-Control-Allow-Origin "*"
sem os outros sinalizadores Access-Control- *, conforme descrito em enable-cors.org .
Estou tentando conectar ao hood.ie via Javascript:
hoodie = new Hoodie('http://example.com:6001');
Mas, em seguida, receba um erro: A wildcard '*' cannot be used in the 'Access-Control-Allow-Origin' header when the credentials flag is true. Origin 'xxx' is therefore not allowed access.
Com:
hoodie = new Hoodie('http://example.com');
Dá 404 ...
Eu posso me conectar a localhost : 6001 e: 6002 para public / admin, então as portas estão funcionando (também para external example.com)
Mas no devonsole eu recebo:
OPTIONS: http://example.com:6001/_api/_session Um curinga '*' não pode ser usado no cabeçalho 'Access-Control-Allow-Origin' quando o sinalizador de credenciais é verdadeiro. Portanto, o link 'de origem não tem permissão para acessar. '
Eu configurei o Apache2:
<VirtualHost *:80>
DocumentRoot /var/www
Header set Access-Control-Allow-Origin *
Header add Access-Control-Allow-Headers "origin, content-type"
Header always set Access-Control-Allow-Methods "POST, GET, PUT, DELETE, OPTIONS"
Header set Access-Control-Allow-Credentials "false"
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Credentials "false"
</Directory>
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
<Directory "/usr/lib/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
</Directory>
ErrorLog ${APACHE_LOG_DIR}/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog ${APACHE_LOG_DIR}/access.log combined
Alias /doc/ "/usr/share/doc/"
<Directory "/usr/share/doc/">
Options Indexes MultiViews FollowSymLinks
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>
E tentei um extra:
<VirtualHost *:6001>
Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Credentials "false"
</VirtualHost>
Tentei:
Header set Access-Control-Allow-Credentials false
Header set Access-Control-Allow-Credentials 'false'
Header set Access-Control-Allow-Credentials true
...etc
Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Origin "example.com"
Tentei todas as variações possíveis, mas ainda recebo o mesmo erro ...
Mas eu estou querendo saber se eu tenho que configurá-lo em um lugar diferente, porque o diretório www do serviço :6001 está em algum lugar na minha pasta pessoal, não em var / www, mas ainda funciona, Eu não tenho ideia de como o apache lida com isso, ou sabe sobre a localização, ou se o hood.ie inicia seu próprio webservice.
Eu acredito que deveria ser apenas:
Header set Access-Control-Allow-Origin "*"
sem os outros sinalizadores Access-Control- *, conforme descrito em enable-cors.org .
Eu acho que o "Hoodie" está usando um XMLHttpRequest que envia cookies (withCredentials="true") e, portanto, seu navegador está rejeitando a resposta do servidor, pois ele tem um caractere curinga em o cabeçalho de origem permitido.