перекрестный заголовок 'Authorization' с помощью jquery.ajax ()

Question

Я пытаюсь отправить домен кросс-происхождения и добавляю собственный заголовок «Авторизация». Пожалуйста, смотрите код ниже.

Ошибка:

XMLHttpRequest не может загрузить {url}. Поле заголовка запроса Авторизация не разрешена Access-Control-Allow-Headers.

function loadJson(from, to) {
    $.ajax({
        //this is a 'cross-origin' domain
        url : "http://localhost:2180/api/index.php",
        dataType : 'json',
        data : { handler : "statistic", from : from, to : to
        },
        beforeSend : setHeader,
        success : function(data) {
            alert("success");
        },
        error : function(jqXHR, textStatus, errorThrown) {
            alert("error");
        }
    });
}

function getToken() {
    var cookie = Cookie.getCookie(cookieName);
    var auth = jQuery.parseJSON(cookie);
    var token = "Token " + auth.id + ":" + auth.key;
}

function setHeader(xhr) {
    xhr.setRequestHeader('Authorization', getToken());
}

Я тоже пробовал:

headers : { 'Authorization' : getToken() },

в запросе ajax.

Может ли быть, что инфраструктура jquery-ajax блокирует перекрестную аутентификацию? Как я могу это исправить?

Обновление:

Кстати: есть ли более безопасный способ сохранить auth.key на стороне клиента, чем в cookie? getToken () будет заменен более сложным методом, хэширующим тело, дату и т. д.

Answer 1

Это пример выполнения запроса CORS. Если у вас есть доступ к серверу (что, как я полагаю, у вас есть, поскольку это запрос к localhost), вам нужно будет добавить специфичные для CORS заголовки ответа. Самое простое, что нужно сделать, это добавить следующие заголовки ответа:

Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Authorization

Ваш сервер также должен быть настроен для ответа на запросы HTTP OPTIONS. Подробнее о создании запросов CORS можно узнать здесь: http://www.html5rocks.com/en/tutorials/cors/