Разрешить что-либо через политику CORS
Как отключить корс? По какой-то причине я одичал, допустил корни и заголовки, но мои запросы ajax все еще жалуются, что происхождение не было разрешено моей политикой CORS....
Мой контроллер приложений:
class ApplicationController < ActionController::Base
protect_from_forgery
before_filter :current_user, :cors_preflight_check
after_filter :cors_set_access_control_headers
# For all responses in this controller, return the CORS access control headers.
def cors_set_access_control_headers
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = "1728000"
end
# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.
def cors_preflight_check
if request.method == :options
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = '1728000'
render :text => '', :content_type => 'text/plain'
end
end
private
# get the user currently logged in
def current_user
@current_user ||= User.find(session[:user_id]) if session[:user_id]
end
helper_method :current_user
end
маршруты:
match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
match "/alert" => "alerts#create"
match "/alerts" => "alerts#get"
match "/login" => "sessions#create"
match "/logout" => "sessions#destroy"
match "/register" => "users#create"
Изменить ---
Я также пробовал:
config.middleware.use Rack::Cors do
allow do
origins '*'
resource '*',
:headers => :any,
:methods => [:get, :post, :delete, :put, :options]
end
end
в application.rb
- изменить 2 ---
Проблема в том, что Chrome Extensions, возможно, не поддерживает CORS, я думаю. Как я могу получить информацию в обход CORS? Как мне ответить на проверку предполета?
Ответы
Ответ 1
У меня есть те же требования к публичному API, для которого я использовал rails-api.
Я также задал заголовок перед фильтром. Это выглядит так:
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'
Кажется, вы пропустили заголовок Access-Control-Request-Method.
Ответ 2
Посмотрите на rack-cors промежуточное программное обеспечение. Он будет обрабатывать заголовки CORS настраиваемым образом.
Ответ 3
Просто вы можете добавить gem-стойку https://rubygems.org/gems/rack-cors/versions/0.4.0
1-й шаг: добавьте драгоценный камень в свой Gemfile:
gem 'rack-cors', :require => 'rack/cors'
а затем сохраните и запустите bundle install
2-й шаг: обновите файл config/application.rb, добавив следующее:
config.middleware.insert_before 0, Rack::Cors do
allow do
origins '*'
resource '*', :headers => :any, :methods => [:get, :post, :options]
end
end
для получения более подробной информации вы можете перейти на https://github.com/cyu/rack-cors, в частности, если вы не используете рельсы 5.
Ответ 4
У меня были проблемы, особенно с Chrome. То, что вы сделали, похоже на то, что я сделал в своем приложении. Единственное отличие состоит в том, что я отвечаю правильными именами хостов в моих заголовках Origin CORS, а не подстановочным знаком. Мне кажется, что Chrome требователен к этому.
Переключение между разработкой и производством - это боль, поэтому я написал эту небольшую функцию, которая помогает мне как в режиме разработки, так и в режиме производства. Все перечисленные ниже вещи происходят в моем application_controller.rb
если не указано иное, это может быть не лучшим решением, но стеллажи не работают для меня, я не могу вспомнить почему.
def add_cors_headers
origin = request.headers["Origin"]
unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:")
origin = "https://your.production-site.org"
end
headers['Access-Control-Allow-Origin'] = origin
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
allow_headers = request.headers["Access-Control-Request-Headers"]
if allow_headers.nil?
#shouldn't happen, but better be safe
allow_headers = 'Origin, Authorization, Accept, Content-Type'
end
headers['Access-Control-Allow-Headers'] = allow_headers
headers['Access-Control-Allow-Credentials'] = 'true'
headers['Access-Control-Max-Age'] = '1728000'
end
И затем у меня есть эта маленькая вещь в моем application_controller.rb
потому что мой сайт требует входа в систему:
before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}
В моем routes.rb
меня также есть эта вещь:
match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}
и этот метод выглядит так:
def empty
render :nothing => true
end
Ответ 5
У меня была аналогичная проблема до того, как это оказалось веб-браузером (хром в моем случае). Это проблема.
Если вы используете хром, попробуйте запустить его так:
Для Windows:
1) Создайте ярлык для Chrome на рабочем столе. Щелкните правой кнопкой мыши ярлык и выберите "Свойства", затем перейдите на вкладку "Ярлык".
2) В поле "Цель" добавьте следующее: -args -disable-web-security
Для Mac, откройте окно терминала и запустите это из командной строки:
open ~/Приложения/Google\Chrome.app/-args -disable-web-security
Выше информации из:
http://documentumcookbook.wordpress.com/2012/03/13/disable-cross-domain-javascript-security-in-chrome-for-development/
Ответ 6
Только что столкнулся с этой проблемой в моем приложении рельсов в производстве. Многие ответы здесь дали мне подсказки и помогли мне, наконец, прийти к ответу, который работал хорошо для меня.
Я использую Nginx, и это было достаточно просто, чтобы просто изменить файл my_app.conf (где my_app - имя вашего приложения). Вы можете найти этот файл в /etc/nginx/conf.d
Если у вас еще нет location/{}
вы можете просто добавить его под server {}
, а затем добавить add_header 'Access-Control-Allow-Origin' '*';
под location/{}
.
Окончательный формат должен выглядеть примерно так:
server {
server_name ...;
listen ...;
root ...;
location / {
add_header 'Access-Control-Allow-Origin' '*';
}
}
Ответ 7
1-й нужно добавить в свой gemfile
gem 'rack-cors', :require => 'rack/cors'
bundle install
следующего bundle install
добавьте следующий код в ваш файл application.rb
config.middleware.use Rack::Cors do
allow do
origins '*'
resource '*',
:headers => :any,
:expose => ['Authorization'],
:methods => [:get, :post, :options, :delete, :put]
end
end
что это... Счастливое кодирование
Ответ 8
Попробуйте выполнить настройку в /config/application.rb:
config.middleware.insert_before 0, "Rack::Cors" do
allow do
origins '*'
resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true
end
end
Ответ 9
Это также поддерживает большинство фреймворков PHP
Header set Access-Control-Allow-Methods "GET, POST, OPTIONS"
Header set Access-Control-Allow-Origin "*"
Header set Access-Control-Allow-Credentials true
Header set Access-Control-Allow-Headers "accept, content-type, X-Requested-With, X-Prototype-Version, X-CSRF-Token, authorization"
Просто убедитесь, что вы комментируете... Начальная строка в файле httpd.conf
# Virtual hosts
#Header always set Access-Control-Allow-Origin "*"
Include /private/etc/apache2/extra/httpd-vhosts.conf
Или вы столкнетесь с проблемой multiple origin "*, *"