リクエストヘッダーフィールドX-CSRFTokenは、プリフライトレスポンスのAccess-Control-Allow-Headersで許可されていません

Question

JSONレスポンスをフェッチするためにGroupMe APIへのAPI呼び出しを試みていますが、次のエラーが発生しています。

XMLHttpRequest cannot load ...(call url)... 
Request header field X-CSRFToken is not allowed by Access-Control-Allow-Headers in preflight response. 

私のJavascriptが次のようになります。

var xmlhttp = new XMLHttpRequest(); 
var url = (call url) 

xmlhttp.onreadystatechange = function() { 
    if (xmlhttp.readyState == 4 && xmlhttp.status == 200) { 

    xmlhttp.open("GET", url, true); 
    xmlhttp.setRequestHeader("Access-Control-Allow-Headers", "*"); 
    xmlhttp.setRequestHeader('Access-Control-Allow-Origin', '*'); 

    $.getJSON(url, function(data){ 
     var array = data.response.messages.reverse(); 
     for(i = 0; i<array.length; i++){ 
      $('.messages').append("<div class='message'>"+array[i].name+":<br>"+array[i].text+"</div>"); 
     } 
    }); 
    } 
} 

xmlhttp.open("GET", url, true); 
xmlhttp.send(); 

私は本当にリクエストヘッダは、私は私が正しくヘッダを設定していないよ推測していますどのように機能するかを理解していません。誰かがこの問題を解決するためにヘッダーをどのように設定できるかについて、正しい方向で私を指摘できますか？

Answer 1

     サードパーティのサーバーへの呼び出しを行っている場合は、プリフライトリクエストのために、response headerはあなたが得るエラーを取り除くためにAccess-Control-Allow-Headers: X-CSRF-Tokenが含まれている必要があります。しかし、我々はそれを支配していない。

     コールはあなたがcrossDomain parameter set to trueとajax jQuery requestを送信する場合は、ケースタイプOPTIONSであるあなたのプリフライトリクエストに応じて Access-Control-Allow-Headers: X-CSRF-Tokenを追加することができ、当社のサーバーを参照する場合には、当社の管理下に完全にあります。