Разрешить что угодно через политику CORS

100

Как отключить корс? По какой-то причине я выбрал разрешенные источники и заголовки, но мои запросы ajax все еще жалуются, что источник не разрешен моей политикой CORS ....

Контроллер моих приложений:

class ApplicationController < ActionController::Base
  protect_from_forgery
  before_filter :current_user, :cors_preflight_check
  after_filter :cors_set_access_control_headers

# For all responses in this controller, return the CORS access control headers.

def cors_set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Control-Allow-Headers'] = '*'
  headers['Access-Control-Max-Age'] = "1728000"
end

# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.

def cors_preflight_check
  if request.method == :options
    headers['Access-Control-Allow-Origin'] = '*'
    headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Control-Allow-Headers'] = '*'
    headers['Access-Control-Max-Age'] = '1728000'
    render :text => '', :content_type => 'text/plain'
  end
end
  private
  # get the user currently logged in
  def current_user
    @current_user ||= User.find(session[:user_id]) if session[:user_id]
  end
  helper_method :current_user

end

маршруты: 

  match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
  match "/alert" => "alerts#create"
  match "/alerts" => "alerts#get"
  match "/login" => "sessions#create"
  match "/logout" => "sessions#destroy"
  match "/register" => "users#create"

Редактировать---

Я также пробовал:

   config.middleware.use Rack::Cors do
      allow do
        origins '*'
        resource '*', 
            :headers => :any, 
            :methods => [:get, :post, :delete, :put, :options]
      end
    end

в application.rb

--редактировать 2 ---

Проблема в том, что расширения Chrome могут не поддерживать CORS, я думаю. Как я могу получить информацию в обход CORS? Как мне ответить на предполетную проверку?

ruby-on-rails cors Нонконформист
источник
1
Не «отключить CORS», но фактически не иметь политики? Кажется, я не могу ответить ни на один запрос.
Нонконформист
1
Вы используете это на localhost?
Джунг Нгуен

Ответы:

154

У меня те же требования к общедоступному API, для которого я использовал rails-api.

Я также установил заголовок в фильтре до. Выглядит это так:

headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'

Похоже, вы пропустили заголовок Access-Control-Request-Method.

маттео
источник
Это странно. Не могли бы вы предоставить дополнительную информацию о полученной ошибке?
маттео
github.com/cleor41/Cors-Rails4-API Проверьте это, если вы не знаете, где его еще поставить.
CleoR
8
Access-Control-Request-Method устанавливается в запросе, а не в ответе. developer.mozilla.org/en-US/docs/Web/HTTP/…
kuboon
19

Взгляните на промежуточное программное обеспечение для стойки . Он будет обрабатывать заголовки CORS настраиваемым образом.

Джеф
источник
2
Мы использовали стеллажи в течение нескольких месяцев и до сих пор не обнаружили никаких проблем. Вы уверены, что проблема не на стороне клиента?
Jef
1
Я думаю, проблема в том, что расширения Chrome не поддерживают CORS, поэтому, возможно, Origin имеет значение Null. Как полностью отключить CORS и ответить на любой запрос, включая запросы с нулевым происхождением?
Нонконформист
Какое расширение Chrome вы используете?
Джеф
1
Я пишу расширение для Chrome, которое должно взаимодействовать с моим сервером Rails.
Нонконформист
12

Просто вы можете добавить драгоценный камень в стойку https://rubygems.org/gems/rack-cors/versions/0.4.0

1-й шаг: добавьте драгоценный камень в свой Gemfile: 

gem 'rack-cors', :require => 'rack/cors'

а затем сохраните и запустите bundle install

2-й шаг: обновите файл config / application.rb, добавив следующее:

config.middleware.insert_before 0, Rack::Cors do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end

для получения дополнительных сведений перейдите на https://github.com/cyu/rack-cors, особенно если вы не используете направляющие 5.

Абдалла Окаша
источник
Для меня это .insert_before 0было важно. Раньше я использовал, config.middleware.useи это работало только до тех пор, пока я не хотел разрешить CORS для своего publicкаталога.
Цунами
5

У меня были проблемы, особенно с Chrome. То, что вы сделали, по существу похоже на то, что я сделал в своем приложении. Единственная разница в том, что я отвечаю с правильными именами хостов в заголовках Origin CORS, а не с подстановочным знаком. Мне кажется, Chrome придирчив к этому.

Переключение между разработкой и производством - это боль, поэтому я написал эту небольшую функцию, которая помогает мне в режиме разработки, а также в режиме производства. Все перечисленные ниже вещи происходят в моем application_controller.rbслучае, если не указано иное, возможно, это не лучшее решение, но стойки-корсы у меня тоже не работали, я не могу вспомнить почему.

def add_cors_headers
  origin = request.headers["Origin"]
  unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:")
    origin = "https://your.production-site.org"
  end
  headers['Access-Control-Allow-Origin'] = origin
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
  allow_headers = request.headers["Access-Control-Request-Headers"]
  if allow_headers.nil?
    #shouldn't happen, but better be safe
    allow_headers = 'Origin, Authorization, Accept, Content-Type'
  end
  headers['Access-Control-Allow-Headers'] = allow_headers
  headers['Access-Control-Allow-Credentials'] = 'true'
  headers['Access-Control-Max-Age'] = '1728000'
end

А потом у меня есть эта мелочь, application_controller.rbпотому что мой сайт требует логина:

before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}

В моем routes.rbтоже есть такая вещь:

match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}

и этот метод выглядит так:

def empty
  render :nothing => true
end
Кристоф Эйке
источник
1
Просто чтобы замкнуть круг. Вся эта неразбериха с CORS происходит только тогда, когда вы запускаете свой производственный сервер из приложения localhost, верно? Ничего из этого не произойдет, когда все будет в производстве?
Sebastialonso
2
Только если серверная часть и веб-приложение размещены под одним и тем же URL-адресом. Если они полностью размещены под двумя разными URL-адресами, то это произойдет и в производственной среде.
Кристоф Эйке
3

У меня была аналогичная проблема раньше, когда выяснилось, что проблема была в веб-браузере (в моем случае хром).

Если вы используете Chrome, попробуйте запустить его так:

Для Windows:

1) Создайте ярлык для Chrome на рабочем столе. Щелкните ярлык правой кнопкой мыши и выберите «Свойства», затем перейдите на вкладку «Ярлык».

2) В поле «Цель» добавьте следующее: –args –disable-web-security.

Для Mac откройте окно терминала и запустите его из командной строки: open ~ / Applications / Google \ Chrome.app/ –args –disable-web-security

Выше информация от:

http://documentumcookbook.wordpress.com/2012/03/13/disable-cross-domain-javascript-security-in-chrome-for-development/

PropertyWebBuilder
источник
Почему это было отклонено? У меня была ситуация, аналогичная описанной в вопросе, которая была решена путем запуска Chrome с отключенной веб-безопасностью. Проблема возникает, когда вы запускаете сервер разработки локально. Очевидно, вы бы не оставили Chrome всегда работающим с отключенной веб-безопасностью.
PropertyWebBuilder
это не должно быть отклонено, так как он правильно объясняет ситуацию :)
Джунг Нгуен
4
Я не голосовал против, но из ответа неясно, что это решение только для целей разработки. Хотя это может решить проблему локально, нельзя ожидать, что ваши посетители / пользователи расширения сделают это. Я хотел бы пояснить это в ответе.
nathanvda
1
Здесь тоже нет голосования, но раньше было так, что первый экземпляр chrome, запущенный с заданным флагом, заставлял все другие экземпляры работать таким же образом. Что-то, чего следует очень осторожно. Об этом слишком легко забыть и заняться импровизированным серфингом.
dc5
2

Только что столкнулся с этой проблемой в моем приложении rails в производстве. Многие ответы здесь дали мне подсказки и помогли мне, наконец, прийти к ответу, который меня устраивал.

Я использую Nginx, и достаточно просто изменить файл my_app.conf (где my_app - имя вашего приложения). Вы можете найти этот файл в/etc/nginx/conf.d

Если у вас еще нет, location / {}вы можете просто добавить его server {}, а затем добавить add_header 'Access-Control-Allow-Origin' '*';ниже location / {}.

Окончательный формат должен выглядеть примерно так:

server {
    server_name ...;
    listen ...;
    root ...;

    location / {
        add_header 'Access-Control-Allow-Origin' '*';
    }
}
HB
источник
-2

Попробуйте конфигурацию в /config/application.rb:

config.middleware.insert_before 0, "Rack::Cors" do
  allow do
    origins '*'
    resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true
  end
end
Леонардо Остан
источник
Вы забыли упомянуть, что разработчик должен добавить 'rack-cors' в Gemfile
Габриэль Лиденор
-2

Используйте VSC или любой другой редактор с Live-сервером, он предоставит вам прокси, который позволит вам использовать GET или FETCH

Айо полумесяц
источник