从 file:// 方案运行的应用程序出现 CORS 错误

我有一个 AngularJS/Cordova 应用程序，它轮询远程服务器上的 JSON 服务：

$http({method: 'GET', url: 'http://example.com/index.php'})

在浏览器中开发并在我的 Intranet apache 服务器上运行（http://dev）我收到“不存在‘Access-Control-Allow-Origin’标头”，因此我通过添加以下内容来修复此问题：

Header set Access-Control-Allow-Origin "http://dev"

一切正常，我明白了Origin:http://dev在我的 Chrome 开发工具中。

因此，必须第一次考虑这个问题，我想知道当应用程序在 Android/iOS Web 视图中运行时，Origin 会是什么。我决定在我的设备上进行构建和部署，并期望在远程调试（iOS 的 Safari 和 Android 的 Weinre）中看到相同的错误，但令我惊讶的是它有效（不发送任何 CORS 标头）！我还发现，在这两种设备中，应用程序在 file:// 方案下的 webview 中运行，而不是（我假设的）手机操作系统提供的某种 http 服务器。

因此，研究似乎表明 file:// 不需要 CORS - 这样的“站点”可以访问任何域上的任何 XHR 资源。但是，当我在桌面浏览器上测试时，我发现虽然 Safari 不需要 CORS 文件:// 但 Chrome 可以，FireFox 可以在没有 CORS 的情况下以任何方式工作

所以我的问题是：

1) 为什么我的应用程序在 Android/iOS 中无需 CORS 即可运行 - 是因为 CORS 不适用于 file://，还是 Cordova 正在执行某些操作以使其在设备中运行？

I have <access origin="*"/>在我的配置中

2) 如果在等待问题 1 的答案时，我希望进入安全站点并明确允许来自应用程序的请求，那么您为 file://“hosts”赋予 Access-Control-Allow-Origin 的值是多少？在我的调试中，来自 file:// 的请求中没有 Origin 标头

3）除了阻止对远程服务器的 XHR 请求之外，Chrome 还阻止我的应用程序模板（我使用单独的文件），请参见下文。这是我的应用程序的潜在问题，还是只是我不需要担心的 Chrome 问题？

XMLHttpRequest cannot load file:///Volumes/projects/phonegap/www/templates/tabs.html. Cross origin requests are only supported for HTTP. 

CORS 标头有两种方式表明应允许跨域 XHR：

• sending Access-Control-Allow-Origin: *（允许所有主机）
• 将您想要允许的主机放入Origin后端的标头

至于file://他们将生成一个 URLnull Origin无法通过第二个选项授权（回声).

As 提及 https://stackoverflow.com/questions/21297169/cors-and-phonegap-apps:

跨域策略不适用于 PhoneGap（出于多种原因，主要是因为您的应用程序本质上是在设备上的 file:// URI 上运行的）。

请注意，您必须为应用程序设置白名单才能访问这些外部域。

至于Chrome问题，可以在开发者控制台看到：

Failed to load resource: net::ERR_FILE_NOT_FOUND file:///C:/2.html XMLHttpRequest cannot load file:///C:/2.html. Received an invalid response. Origin 'null' is therefore not allowed access.

进行了一次讨论Chromium 项目的问题跟踪器，#40787 https://code.google.com/p/chromium/issues/detail?id=40787。他们将问题标记为不会修复因为这种行为是有意为之的。

有一个解决方法建议简单地关闭 Chrome 中的 CORS 以用于开发目的，启动 chrome--allow-file-access-from-files --disable-web-security

例如对于Windows

`C:\Users\YOUR_USER\AppData\Local\Google\Chrome\Application\chrome.exe --allow-file-access-from-files --disable-web-security`

这是更多与科尔多瓦相关的答案：

• CORS 和 PhoneGap 应用 https://stackoverflow.com/questions/21297169/cors-and-phonegap-apps
• Apache Cordova 中的域白名单 http://docs.phonegap.com/en/1.8.0rc1/guide_whitelist_index.md.html#Domain%20Whitelist%20Guide- 控制对外部域的访问的安全模型。

检查这些资源以获取有关 CORS 的更多信息：

• 跨源资源共享和 file:// https://stackoverflow.com/questions/5138057/cross-origin-resource-sharing-and-file
• 一个不错的 CORS 教程：http://www.html5rocks.com/en/tutorials/cors/ http://www.html5rocks.com/en/tutorials/cors/
• 围绕原产地政策开展工作 http://www.sitepoint.com/working-around-origin-policy/
• HTTP 访问控制 (CORS) (Mozilla) https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

另请检查浏览器对 CORS 的支持：

• http://caniuse.com/#feat=cors http://caniuse.com/#feat=cors

并记录在案W3C 上的正式 CORS 规范 http://www.w3.org/TR/cors/ :)