Как вы можете отладить запрос CORS с помощью cURL?

300

Как вы можете отлаживать запросы CORS, используя cURL? До сих пор я не мог найти способ «смоделировать» предполетный запрос.

curl cors themihai
источник

Ответы:

496

Вот как вы можете отлаживать запросы CORS, используя curl.

Отправка обычного запроса CORS с помощью cUrl:

curl -H "Origin: http://example.com" --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

-H "Origin: http://example.com"Флаг является домен третьей стороны делает запрос. Замените в любом своем домене.

В --verboseфлаг выводит весь ответ , так что вы можете увидеть заголовки запроса и ответа.

URL-адрес, который я использую выше, представляет собой пример запроса к API Google, который поддерживает CORS, но вы можете заменить любой URL-адрес, который вы тестируете.

Ответ должен включать Access-Control-Allow-Originзаголовок.

Отправка предварительного запроса с помощью cUrl:

curl -H "Origin: http://example.com" \
  -H "Access-Control-Request-Method: POST" \
  -H "Access-Control-Request-Headers: X-Requested-With" \
  -X OPTIONS --verbose \
  https://www.googleapis.com/discovery/v1/apis?fields=

Это похоже на обычный запрос CORS с несколькими дополнениями:

Эти -Hфлаги отправить дополнительные предполетных заголовки запроса к серверу

-X OPTIONSФлаг указывает на то, что это запрос HTTP OPTIONS.

Если предполетной запрос успешен, ответ должен включать в себя Access-Control-Allow-Origin, Access-Control-Allow-Methodsи Access-Control-Allow-Headersзаголовки ответа. Если предварительный запрос не был успешным, эти заголовки не должны отображаться, иначе ответ HTTP не будет 200.

Вы также можете указать дополнительные заголовки, например User-Agent, используя -Hфлаг.

мосье
источник
2
эта страница не возвращает заголовки CORS, это правильно?
Янус Троелсен
1
Для просмотра актуальных заголовков вам необходимо добавить --verboseопцию, как указано выше.
Монсур
10
или --head:curl -H "Origin: http://example.com" --head https://www.googleapis.com/discovery/v1/apis\?fields\=
Джон Башир
2
Используйте --include, чтобы увидеть заголовки.
Мика Туупола
7
В случае S3 соответствующие заголовки добавляются, только если указан правильный метод, вы можете сделать это с помощью curl -H "Access-Control-Request-Method: GET" -H "Origin: http://example.com" -I https://s3.amazonaws.com/your-bucket/file.
Йоша
52

Обновленный ответ, который охватывает большинство случаев

curl -H "Access-Control-Request-Method: GET" -H "Origin: http://localhost" --head http://www.example.com/
  1. Замените http://www.example.com/ URL-адресом, который вы хотите проверить.
  2. Если ответ включает в себя, Access-Control-Allow-*то ваш ресурс поддерживает CORS.

Обоснование альтернативного ответа

Я задаю этот вопрос время от времени, и принятый ответ - это никогда не то, что мне нужно. Сначала печатается тело ответа, в котором много текста. Добавление --headвыводов только заголовков. Во-вторых, при тестировании URL-адресов S3 нам нужно предоставить дополнительный заголовок -H "Access-Control-Request-Method: GET".

Надеюсь, это сэкономит время.

Вилюс Паулаускас
источник
2
если я свернусь без установки источника и смогу вернуть ответ и заголовки (включая заголовок access-control-allow-origin), значит ли это, что я неправильно настроил CORS? curl -X GET ' endpoint.com ' -H 'Cache-Control: no-cache' --head
Jun711
вычисляя то же самое @Jun
Лукас Лукач
1
Это основывается на том, --headчто curl распечатывает заголовки, но также заставляет curl делать HEADзапрос, а не a GET. В зависимости от того, что вы тестируете, вы можете сделать GETзапрос. Вы можете сделать это, добавив --IXGET.
Эйдан Фицпатрик
2
Разве это не задом наперед? Не должно ли происхождение быть example.com вместо этого?
Дастин Ингрэм
4

Скрипт bash "corstest" ниже работает для меня. Это основано на комментарии июня выше.

использование

Corstest [-v] URL

Примеры

./corstest https://api.coindesk.com/v1/bpi/currentprice.json
https://api.coindesk.com/v1/bpi/currentprice.json Access-Control-Allow-Origin: *

положительный результат отображается зеленым цветом

./corstest https://github.com/IonicaBizau/jsonrequest
https://github.com/IonicaBizau/jsonrequest does not support CORS
you might want to visit https://enable-cors.org/ to find out how to enable CORS

отрицательный результат отображается красным и синим

опция -v покажет полные заголовки curl

corstest

#!/bin/bash
# WF 2018-09-20
# https://stackoverflow.com/a/47609921/1497139

#ansi colors
#http://www.csc.uvic.ca/~sae/seng265/fall04/tips/s265s047-tips/bash-using-colors.html
blue='\033[0;34m'  
red='\033[0;31m'  
green='\033[0;32m' # '\e[1;32m' is too bright for white bg.
endColor='\033[0m'

#
# a colored message 
#   params:
#     1: l_color - the color of the message
#     2: l_msg - the message to display
#
color_msg() {
  local l_color="$1"
  local l_msg="$2"
  echo -e "${l_color}$l_msg${endColor}"
}


#
# show the usage
#
usage() {
  echo "usage: [-v] $0 url"
  echo "  -v |--verbose: show curl result" 
  exit 1 
}

if [ $# -lt 1 ]
then
  usage
fi

# commandline option
while [  "$1" != ""  ]
do
  url=$1
  shift

  # optionally show usage
  case $url in      
    -v|--verbose)
       verbose=true;
       ;;          
  esac
done  


if [ "$verbose" = "true" ]
then
  curl -s -X GET $url -H 'Cache-Control: no-cache' --head 
fi
origin=$(curl -s -X GET $url -H 'Cache-Control: no-cache' --head | grep -i access-control)


if [ $? -eq 0 ]
then
  color_msg $green "$url $origin"
else
  color_msg $red "$url does not support CORS"
  color_msg $blue "you might want to visit https://enable-cors.org/ to find out how to enable CORS"
fi
Вольфганг Фаль
источник
добавление заголовка Origin сделает это лучше, например. -H 'происхождение: mydomain.xyz '
Bas
3

Похоже, только это работает:

curl -I http://example.com

Ищите Access-Control-Allow-Origin: *в возвращаемых заголовках

MalcolmOcean
источник
3
Помните, что *это не работает, если учетные данные, такие как cookie, должны быть представлены в запросе API. В этом случае в Access-Control-Allow-Originответе также необходимо указать полное доменное имя Access-Control-Allow-Credentials: true. Запросы на учетные данные не были определены OP как требование, поэтому *работают для любых неаутентифицированных запросов.
GameSalutes