CouchDB +資格情報+オリジンワイルドカードでCORSの問題

Question

私はflow.chのJelasticからCloudantに移行しようとしています。ローカルでテストするときにpouchdbを使ってCORSエラーが発生しています（イオンサーブ）。

CouchDB以外のJelasticには他の設定がありますか？

XMLHttpRequestはhttp://xxx.flow.ch/xxxをロードできません。プリフライト要求に対する応答がアクセス制御チェックをパスしない：要求の認証モードが「インクルード」の場合、レスポンスの 'Access-Control-Allow-Origin'ヘッダーの値はワイルドカード '*'であってはなりません。 Origin 'http://localhost:8100'はアクセスできません。 XMLHttpRequestによって開始された要求の信任状モードは、withCredentials属性によって制御されます。

1. 私はJelastic上のCouchDBを設定し、CORSを活性化しました。

2. CURLの作品を介した通常のアクセス。 CloudantからJelasticへのレプリケーションも同様に機能しました。

3. は私が有効にChromeの拡張機能を使用しようとした "許可-Controlキーを許可-起源を：*"

Answer 1

couchdb docs unfortunately say this：

あなたが設定することはできませんorigins = *とcredentials = trueオプションを同時に

資格情報を使用してクロスオリジン要求を行う場合couchdbを使用するには、originsの値を許可された起点の明示的なリストに設定する必要があります。例えば：これはCouchDBのよう提起しなければならないよう

[cors] 
origins = http://localhost, https://localhost, http://couch.mydev.name:8080 

---

なお、らしいです。 credentials = trueが設定されている場合、couchdbがすべての起点からの要求を許可するのをサポートしてはならない理由はありません。

多くの/ほとんどのWebサーバーシステムは、資格情報が含まれている場合、すべての起点からの要求を許可します。彼らがすべてそれを処理する方法は、Origin要求ヘッダーの値を取得し、実質的にそれをAccess-Control-Allow-Origin応答ヘッダーの値に戻すだけです。

これを行うサーバーコードを実装するのは簡単です。

しかし、実際にその不足を修正するのには不十分ですが、couchdbの管理者は、両方ともorigins = * + credentials = trueに設定しようとすると、少なくとも設定処理コードをハードエラーに修正する必要があります。

事があるので、ドキュメントに「あなたは同じでorigins = *とcredentials = trueオプションを設定することはできません」という声明は真実ではありません。明らかにあなたはの両方を同時に（あなたの設定画面のキャプチャが証明するように）設定するだけで、システムが何らかの明白な警告/エラーを発行しないので、あなたはcouchdbをそのように設定しました。