我同时使用ApiKeyAuthentication我Tastypie资源得到以下错误,当我尝试做使用AJAX和Tastypie HTTP请求:“请求头字段授权不得”的错误 - Tastypie
XMLHttpRequest cannot load http://domain.com/api/v1/item/?format=json&username=popo&api_key=b83d21e2f8bd4952a53d0ce12a2314c0ffa031b1. Request header field Authorization is not allowed by Access-Control-Allow-Headers.
任何想法关于如何解决这个问题?
这里是请求头从Chrome中:
Request Headersview source
Accept:*/*
Accept-Charset:
ISO-8859-1,utf-8;q=0.7,*;q=0.3
Accept-Encoding:gzip,deflate,sdch
Accept-Language:en-US,en;q=0.8
Access-Control-Request-Headers:
origin, authorization, access-control-allow-origin, accept, access-control-allow-headers
Access-Control-Request-Method:
GET
这里是响应头从Chrome中:
Response Headersview source
Access-Control-Allow-Headers:
Origin,Content-Type,Accept,Authorization
Access-Control-Allow-Methods:
POST,GET,OPTIONS,PUT,DELETE
Access-Control-Allow-Origin:*
Connection:keep-alive
Content-Length:0
Content-Type:
text/html; charset=utf-8
Date:Fri, 11 May 2012 21:38:35 GMT
Server:nginx
正如你所看到的,他们都有标题授权,但授权不会工作。
这里是我使用编辑响应头Django的中间件: https://gist.github.com/1164697
编辑: 我想通了这个问题。我试图连接到www.domain.com,它只接受domain.com
AJAX调用来自同一个域。我如何进行服务器端更改以允许来自外部域的请求,以及执行此操作时出现的安全问题是什么? – egidra
我已经更新了我的回答 – antyrat
我将以下标题添加到了我的所有ajax请求中:'Access-Control-Allow-Origin':'*'。我仍然收到相同的错误:请求标头字段授权不被Access-Control-Allow-Headers所允许。 – egidra