Điều gì đã xảy ra sai?
Các yêu cầu CORS chỉ có thể sử dụng scheme URL HTTP hoặc HTTPS, nhưng URL được chỉ định bởi yêu cầu là loại khác. Điều này thường xảy ra nếu URL chỉ định một tệp cục bộ, sử dụng scheme file:///.
Để sửa vấn đề này, hãy đảm bảo bạn sử dụng URL HTTPS khi phát hành các yêu cầu liên quan đến CORS, chẳng hạn như fetch(), XMLHttpRequest, Web Fonts (@font-face) và WebGL textures, và XSL stylesheets.
Tải tệp cục bộ
Các tệp cục bộ từ cùng thư mục và thư mục con về mặt lịch sử được coi là từ cùng nguồn gốc. Điều này có nghĩa là một tệp và tất cả tài nguyên của nó có thể được tải từ thư mục hoặc thư mục con cục bộ trong quá trình kiểm tra mà không kích hoạt lỗi CORS.
Tuy nhiên điều này có hàm ý bảo mật, như được ghi chú trong khuyến nghị này: CVE-2019-11730. Nhiều trình duyệt, bao gồm Firefox và Chrome, hiện xử lý tất cả các tệp cục bộ là có nguồn gốc mờ (theo mặc định). Do đó, việc tải tệp cục bộ có tài nguyên cục bộ đi kèm hiện sẽ dẫn đến lỗi CORS.
Các nhà phát triển cần thực hiện kiểm tra cục bộ nên thiết lập máy chủ cục bộ. Vì tất cả các tệp được phục vụ từ cùng scheme và domain (localhost), chúng đều có cùng nguồn gốc và không kích hoạt lỗi xuyên nguồn gốc.
Note: Thay đổi này phù hợp với đặc tả URL, để lại hành vi nguồn gốc cho các tệp theo triển khai, nhưng khuyến nghị rằng nguồn gốc tệp được coi là mờ nếu có nghi ngờ.