อนุญาตทุกอย่างผ่านนโยบาย CORS

ฉันจะปิดการใช้งาน cors ได้อย่างไร? ด้วยเหตุผลบางอย่างฉันใช้ต้นกำเนิดและส่วนหัวที่อนุญาต แต่คำขอ ajax ของฉันยังคงบ่นว่าต้นกำเนิดไม่ได้รับอนุญาตตามนโยบาย CORS ของฉัน ....

ตัวควบคุมแอปพลิเคชันของฉัน:

class ApplicationController < ActionController::Base
  protect_from_forgery
  before_filter :current_user, :cors_preflight_check
  after_filter :cors_set_access_control_headers

# For all responses in this controller, return the CORS access control headers.

def cors_set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Control-Allow-Headers'] = '*'
  headers['Access-Control-Max-Age'] = "1728000"
end

# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.

def cors_preflight_check
  if request.method == :options
    headers['Access-Control-Allow-Origin'] = '*'
    headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Control-Allow-Headers'] = '*'
    headers['Access-Control-Max-Age'] = '1728000'
    render :text => '', :content_type => 'text/plain'
  end
end
  private
  # get the user currently logged in
  def current_user
    @current_user ||= User.find(session[:user_id]) if session[:user_id]
  end
  helper_method :current_user

end

เส้นทาง:

  match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
  match "/alert" => "alerts#create"
  match "/alerts" => "alerts#get"
  match "/login" => "sessions#create"
  match "/logout" => "sessions#destroy"
  match "/register" => "users#create"

แก้ไข ---

ฉันยังลอง:

   config.middleware.use Rack::Cors do
      allow do
        origins '*'
        resource '*', 
            :headers => :any, 
            :methods => [:get, :post, :delete, :put, :options]
      end
    end

ใน application.rb

- แก้ไข 2 -

ปัญหาคือส่วนขยายของ Chrome อาจไม่รองรับ CORS ที่ฉันคิด ฉันจะดึงข้อมูลข้าม CORS ได้อย่างไร ฉันควรตอบสนองต่อการตรวจสอบไฟล่วงหน้าอย่างไร

ฉันมีข้อกำหนดเดียวกันกับคุณเกี่ยวกับ API สาธารณะที่ฉันใช้ Rails-api

ฉันยังตั้งค่าส่วนหัวในก่อนตัวกรอง ดูเหมือนว่า:

headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'

ดูเหมือนว่าคุณพลาดส่วนหัว Access-Control-Request-Method

ดูมิดเดิลแวร์แร็คคอร์ มันจะจัดการกับส่วนหัว CORS ในลักษณะที่กำหนดได้

เพียงแค่คุณเพิ่มอัญมณีแร็คคอร์ https://rubygems.org/gems/rack-cors/versions/0.4.0

ขั้นตอนที่ 1: เพิ่มอัญมณีใน Gemfile ของคุณ:

gem 'rack-cors', :require => 'rack/cors'

จากนั้นบันทึกและเรียกใช้ bundle install

ขั้นตอนที่ 2: อัปเดตไฟล์ config / application.rb ของคุณโดยเพิ่มสิ่งนี้:

config.middleware.insert_before 0, Rack::Cors do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end

สำหรับรายละเอียดเพิ่มเติมคุณสามารถไปที่https://github.com/cyu/rack-cors Specailly หากคุณไม่ใช้ราง 5

ฉันมีปัญหาโดยเฉพาะกับ Chrome เช่นกัน สิ่งที่คุณทำดูเหมือนกับสิ่งที่ฉันทำในใบสมัครของฉัน ข้อแตกต่างเพียงอย่างเดียวคือฉันตอบสนองด้วยชื่อโฮสต์ที่ถูกต้องในส่วนหัว Origin CORS ของฉันไม่ใช่สัญลักษณ์แทน สำหรับฉันแล้วดูเหมือนว่า Chrome จะพิถีพิถันกับเรื่องนี้

การสลับระหว่างการพัฒนาและการผลิตเป็นความเจ็บปวดดังนั้นฉันจึงเขียนฟังก์ชันเล็ก ๆ น้อย ๆ นี้ซึ่งช่วยฉันในโหมดการพัฒนาและในโหมดการผลิตด้วย ทุกสิ่งต่อไปนี้เกิดขึ้นในของฉันapplication_controller.rbเว้นแต่จะระบุไว้เป็นอย่างอื่นมันอาจไม่ใช่วิธีแก้ปัญหาที่ดีที่สุด แต่แร็คคอร์ก็ไม่ได้ผลสำหรับฉันเช่นกันฉันจำไม่ได้ว่าทำไม

def add_cors_headers
  origin = request.headers["Origin"]
  unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:")
    origin = "https://your.production-site.org"
  end
  headers['Access-Control-Allow-Origin'] = origin
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
  allow_headers = request.headers["Access-Control-Request-Headers"]
  if allow_headers.nil?
    #shouldn't happen, but better be safe
    allow_headers = 'Origin, Authorization, Accept, Content-Type'
  end
  headers['Access-Control-Allow-Headers'] = allow_headers
  headers['Access-Control-Allow-Credentials'] = 'true'
  headers['Access-Control-Max-Age'] = '1728000'
end

จากนั้นฉันก็มีสิ่งเล็ก ๆ น้อย ๆ ในตัวฉันapplication_controller.rbเพราะไซต์ของฉันต้องการการเข้าสู่ระบบ:

before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}

ในของroutes.rbฉันฉันก็มีสิ่งนี้:

match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}

และวิธีนี้มีลักษณะดังนี้:

def empty
  render :nothing => true
end

ฉันเคยมีปัญหาที่คล้ายกันมาก่อนซึ่งกลายเป็นเว็บเบราว์เซอร์ (Chrome ในกรณีของฉัน) ที่เป็นปัญหา

หากคุณใช้ chrome ให้ลองเปิดใช้งาน:

สำหรับ Windows:

1) สร้างทางลัดไปยัง Chrome บนเดสก์ท็อปของคุณ คลิกขวาที่ทางลัดแล้วเลือกคุณสมบัติจากนั้นเปลี่ยนเป็นแท็บ "ทางลัด"

2) ในช่อง "เป้าหมาย" ให้ต่อท้ายสิ่งต่อไปนี้: –args –disable-web-security

สำหรับ Mac ให้เปิดหน้าต่างเทอร์มินัลและเรียกใช้จากบรรทัดคำสั่ง: open ~ / Applications / Google \ Chrome.app/ –args –disable-web-security

ข้อมูลข้างต้นจาก:

http://documentumcookbook.wordpress.com/2012/03/13/disable-cross-domain-javascript-security-in-chrome-for-development/

เพิ่งพบกับปัญหานี้ในแอปพลิเคชันรางของฉันในการผลิต คำตอบมากมายที่นี่ให้คำแนะนำและช่วยให้ฉันได้คำตอบที่ได้ผลดีสำหรับฉันในที่สุด

ฉันใช้งาน Nginx และมันก็ง่ายพอที่จะแก้ไขไฟล์my_app.conf (โดยที่my_appคือชื่อแอปของคุณ) คุณสามารถค้นหาไฟล์นี้ได้ใน/etc/nginx/conf.d

หากคุณไม่ได้location / {}แล้วคุณก็สามารถเพิ่มภายใต้server {}แล้วเพิ่มภายใต้add_header 'Access-Control-Allow-Origin' '*';location / {}

รูปแบบสุดท้ายควรมีลักษณะดังนี้:

server {
    server_name ...;
    listen ...;
    root ...;

    location / {
        add_header 'Access-Control-Allow-Origin' '*';
    }
}

ลองกำหนดค่าที่ /config/application.rb:

config.middleware.insert_before 0, "Rack::Cors" do
  allow do
    origins '*'
    resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true
  end
end

ใช้ VSC หรือโปรแกรมแก้ไขอื่น ๆ ที่มี Live server ซึ่งจะให้พร็อกซีที่จะช่วยให้คุณใช้ GET หรือ FETCH