问 CORS:当credentials标志为true时，不能在Access-Control-Allow-Origin中使用通配符

EN

我有一个设置，包括

前端服务器(Node.js，domain: localhost:3000) <->后端(Django，Ajax，domain: localhost:8000)

浏览器<-- webapp <-- Node.js (为应用程序提供服务)

浏览器(webapp) --> Ajax --> Django(服务ajax POST请求)

现在，我这里的问题是CORS设置，webapp使用它来对后端服务器进行Ajax调用。在chrome中，我不断地得到

当凭证标志为true时，

不能在访问控制允许源中使用通配符。

在firefox上也不起作用。

我的Node.js设置是：

var allowCrossDomain = function(req, res, next) {
    res.header('Access-Control-Allow-Origin', 'http://localhost:8000/');
    res.header('Access-Control-Allow-Credentials', true);
    res.header('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
};

在姜戈，我使用的是 this middleware along with this

webapp发出的请求如下：

$.ajax({
    type: "POST",
    url: 'http://localhost:8000/blah',
    data: {},
    xhrFields: {
        withCredentials: true
    crossDomain: true,
    dataType: 'json',
    success: successHandler
});

因此，webapp发送的请求头如下所示：

Access-Control-Allow-Credentials: true
Access-Control-Allow-Headers: "Origin, X-Requested-With, Content-Type, Accept"
Access-Control-Allow-Methods: 'GET,PUT,POST,DELETE'
Content-Type: application/json 
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
Cookie: csrftoken=***; sessionid="***"

下面是响应头：

Access-Control-Allow-Headers: Content-Type,*
Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: *
Access-Control-Allow-Methods: POST,GET,OPTIONS,PUT,DELETE
Content-Type: application/json

我哪里错了？！

编辑1:我一直在使用 chrome --disable-web-security ，但现在我希望它能正常工作。

编辑2:答案：

因此，针对我的 django-cors-headers 配置的解决方案：

CORS_ORIGIN_ALLOW_ALL = False
CORS_ALLOW_CREDENTIALS = True
CORS_ORIGIN_WHITELIST = (
    'http://localhost:3000' # Here was the problem indeed and it has to be http://localhost:3000, not http://localhost:3000/
)