Discussion :

[cedche99]

Bonjour,

Je rencontre un problème lors de l'utilisation de la fonction XMLHttpRequest, j'ai ce message qui apparaît :
index.html:44 OPTIONS https://www.wecook.fr/web-api/recipes?id=1 403 (Forbidden)
(anonymous) @ index.html:44
index.html:44 XMLHttpRequest cannot load https://www.wecook.fr/web-api/recipes?id=1. Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'null' is therefore not allowed access. The response had HTTP status code 403.

Je ne sais pas d'ou vient ce problème, voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
var httpR = new XMLHttpRequest();
	httpR.open('GET', "https://www.wecook.fr/web-api/recipes?id=1",false);
	httpR.setRequestHeader('Authorization', 'Bearer vy...');
	httpR.send(null);

Ce qui est encore plus étonnant c'est que ce code fonctionne avec postman et node (je recupère un fichier texte).

Quelqu'un aurait une idée sur ce problème ?

[Watilin]

Manifestement tu essayes de faire une requête cross origin. Le navigateur détecte que le domaine vers lequel tu essayes de faire une requête n’est pas le même que celui de ton site, et envoie une preflight request (une requête HTTP OPTIONS) pour demander l’autorisation. Tout ceci se fait automatiquement, ça fait partie du mécanisme CORS.

Si le serveur wecook accepte les requêtes cross origin, il envoie normalement un en-tête Access-Control-Allow-Origin, et si la valeur correspond, la requête est autorisée. Dans ton cas, le message d’erreur dit que la requête n’a pas été autorisée.

Le problème vient probablement du fait que ton Origin est null. Tu ne ferais pas tes tests en local avec le protocole file:// par hasard ?

Remarque : hors sujet mais importante – avec ce troisième paramètre false lors de l’appel à open, ta requête Ajax est synchrone. C’est une très mauvaise pratique. Supprime ce troisième paramètre, oublie qu’il existe, et utilise une fonction de rappel.