Access to XMLHttpRequest at ‘https://api.example.com’ from origin ‘https://site.com’ has been blocked by CORS policy

CORS policy blocked hiba: megfelelő Access-Control-Allow-Origin beállítás használata szerveroldalon.

CORS policy blocked

Hibaüzenet

Access to XMLHttpRequest at 'https://api.example.com' from origin 'https://site.com' has been blocked by CORS policy

Hibás kód

fetch('https://api.example.com/data');

Javított kód

// Szerveroldalon:
// res.header('Access-Control-Allow-Origin', 'https://site.com');
fetch('https://api.example.com/data');

Magyarázat

CORS policy blocked hiba akkor fordul elő, amikor egy weboldal HTTPS domainjéről egy másik domainről próbálsz erőforrást betölteni, de a távoli szerver nem engedélyezi az origin-t az Access-Control-Allow-Origin fejlécben. Ez a böngésző biztonsági mechanizmusa a cross-origin kérések védelmére. A megoldás, hogy a szerveroldalon beállítod a megfelelő CORS fejléceket (pl. Express.js-ben: res.header(‘Access-Control-Allow-Origin’, ‘https://site.com’)). Gondoskodj róla, hogy csak megbízható domaineket engedélyezz.

További információ: MDN – CORS