CORS: невозможно использовать подстановочный знак в Access-Control-Allow-Origin, когда флаг учетных данных установлен в true

У меня есть установка, включающая

Фронтенд-сервер (Node.js, домен: localhost: 3000) <---> Backend (Django, Ajax, домен: localhost: 8000)

Браузер <- веб-приложение <- Node.js (обслуживать приложение)

Браузер (веб-приложение) -> Аякс -> Django (обслуживать ajax POST запросы)

Теперь моя проблема здесь с настройкой CORS, которую веб-приложение использует для выполнения Ajax-вызовов к внутреннему серверу. В хроме я продолжаю получать

Невозможно использовать подстановочный знак в Access-Control-Allow-Origin, если флаг учетных данных имеет значение true.

Безразлично»на firefox тоже не работает.

Моя настройка Node.js:

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

И в Джанго ям используюэто промежуточное ПО Наряду с этим

Веб-приложение делает запросы как таковые:

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    },
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

Итак, заголовки запросов, которые отправляет веб-приложение, выглядят так:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

И здесь's заголовок ответа:

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

Куда я иду не так ?!

Редактировать 1: ямы использовалиchrome --disable-web-security, но теперь хочу, чтобы все действительно работало.

Изменить 2: Ответ:

Итак, решение для меняdjango-cors-headers конфигурации:

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)

Ответы на вопрос(5)

Ваш ответ на вопрос