解决CouchDB中Fetch API因CORS与凭证引发的连接问题

本文旨在解决CouchDB在本地开发环境中，JavaScript Fetch API因CORS策略及凭证（credentials: ‘include’）设置不当导致的连接失败问题。核心在于当客户端请求携带凭证时，服务器的CORS配置中Access-Control-Allow-Origin不能使用通配符*，而必须明确指定允许的源（如http://localhost:8080）。文章将详细阐述其原理、正确的CouchDB配置和Fetch API使用方式，确保跨域请求顺畅。

理解CORS与凭证请求

跨域资源共享（cors）是一种浏览器安全机制，用于规范和限制网页从不同域加载资源的方式。当一个网页（例如运行在http://localhost:8080）尝试请求另一个域（例如http://localhost:5984上的couchdb）的资源时，就会触发cors。

在CORS请求中，如果客户端希望发送带有Cookie、HTTP认证凭证或客户端SSL证书的请求，它需要在Fetch API选项中设置credentials: ‘include’。这种请求被称为“凭证请求”。

当浏览器发起一个复杂的CORS请求（例如非GET/HEAD方法，或包含自定义HTTP头）时，它会首先发送一个“预检请求”（Preflight Request），通常是一个HTTP OPTIONS请求。服务器会响应此预检请求，告知浏览器是否允许实际的跨域请求。如果预检请求未能通过（例如HTTP状态码不是2xx），浏览器将阻止后续的实际请求，并抛出CORS错误。

CouchDB CORS配置解析

CouchDB通过其local.ini配置文件来管理CORS设置。以下是一个常见的CORS配置段：

[chttpd]
enable_cors = true
[cors]
origins = *
credentials = true
methods = GET, POST, PUT, DELETE, OPTIONS, HEAD, TRACE, PATCH
headers = accept, authorization, content-type, origin, referer, cache-control, x-requested-with, X-Couch-Id, X-Couch-Rev

• enable_cors = true: 启用CouchDB的CORS功能。
• origins = *: 理论上允许所有域进行跨域访问。
• credentials = true: 告知浏览器服务器允许凭证请求。
• methods: 允许的HTTP方法。
• headers: 允许的自定义HTTP头。

问题根源：origins = *与凭证的冲突

根据CORS规范，当服务器响应一个凭证请求时，Access-Control-Allow-Origin响应头的值不能是通配符*。服务器必须明确指定允许的源，例如http://localhost:8080。这是为了防止潜在的安全风险，因为*与凭证结合可能会导致凭证在不安全的上下文中被发送。

在上述CouchDB配置中，虽然credentials = true被设置为允许凭证，但origins = *却与CORS规范冲突，导致浏览器在收到预检请求的响应时，发现Access-Control-Allow-Origin是*，便会阻止请求，并报告“Response to preflight request doesn’t pass access control check: It does not have HTTP ok status.”或类似的CORS错误。

解决方案：精确指定允许的源

要解决此问题，需要修改CouchDB的local.ini文件，将[cors]段中的origins配置从*更改为您的前端应用所运行的精确源。

假设您的前端应用运行在http://localhost:8080，则local.ini应配置如下：

[chttpd]
enable_cors = true
[cors]
origins = http://localhost:8080, http://127.0.0.1:8080
credentials = true
methods = GET, POST, PUT, DELETE, OPTIONS, HEAD, TRACE, PATCH
headers = accept, authorization, content-type, origin, referer, cache-control, x-requested-with, X-Couch-Id, X-Couch-Rev

重要提示：

• 如果您的前端应用运行在多个域或端口，您可以使用逗号,分隔它们。例如：origins = http://localhost:8080, https://yourdomain.com。
• 修改local.ini后，务必重启CouchDB服务以使更改生效。

JavaScript Fetch API配置

客户端的JavaScript Fetch API配置保持不变，因为它正确地表达了需要发送凭证的意图：

fetch('http://localhost:5984/', {
method: 'GET', // 或其他HTTP方法
headers: {
'Content-Type': 'application/json'
// 'method': 'GET' 放在这里是错误的，method是fetch选项的一部分，不属于headers
},
credentials: 'include', // 关键：告知浏览器发送凭证
mode: 'cors' // 关键：明确是CORS请求
})
.then(response => {
if (!response.ok) {
throw new Error(`HTTP error! status: ${response.status}`);
}
return response.json();
})
.then(data => {
console.log(data);
})
.catch(error => {
console.error('Fetch error:', error);
});

请注意，method不应作为HTTP头的一部分，它应该是fetch函数的一个选项。上述代码示例已纠正此常见错误。

注意事项与最佳实践

1. 精确性与安全性： 始终建议在origins中指定尽可能精确的源，而不是使用过于宽泛的配置（即使在某些情况下允许使用*）。这有助于提高应用程序的安全性，减少潜在的跨站请求伪造（CSRF）风险。
2. 开发与生产环境： 在开发环境中，您可以将origins设置为http://localhost:port。但在生产环境中，务必将其更改为您的实际生产域名。
3. HTTP/HTTPS： 确保origins中指定的协议（HTTP或HTTPS）与您的前端应用实际使用的协议匹配。
4. 端口号： 如果您的前端应用使用了非标准端口，务必在origins中包含端口号。
5. 浏览器缓存： 有时浏览器会缓存CORS预检请求的结果。如果修改了CouchDB配置后问题依旧，尝试清空浏览器缓存或在无痕模式下测试。

通过遵循这些步骤和最佳实践，您将能够成功解决CouchDB与JavaScript Fetch API之间因CORS和凭证引起的连接问题，确保您的跨域请求能够正常工作。