Разрешить что-либо через политику CORS
как я могу отключить cors? По какой-то причине я wild carded разрешенные истоки и заголовки, но мои запросы ajax все еще жалуются, что происхождение не было разрешено моей политикой CORS....
Мои приложения-контроллера :
class ApplicationController < ActionController::Base
protect_from_forgery
before_filter :current_user, :cors_preflight_check
after_filter :cors_set_access_control_headers
# For all responses in this controller, return the CORS access control headers.
def cors_set_access_control_headers
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = "1728000"
end
# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.
def cors_preflight_check
if request.method == :options
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = '1728000'
render :text => '', :content_type => 'text/plain'
end
end
private
# get the user currently logged in
def current_user
@current_user ||= User.find(session[:user_id]) if session[:user_id]
end
helper_method :current_user
end
маршруты:
match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
match "/alert" => "alerts#create"
match "/alerts" => "alerts#get"
match "/login" => "sessions#create"
match "/logout" => "sessions#destroy"
match "/register" => "users#create"
правка---
Я тоже пробовал:
config.middleware.use Rack::Cors do
allow do
origins '*'
resource '*',
:headers => :any,
:methods => [:get, :post, :delete, :put, :options]
end
end
в приложения.РБ
--edit 2 - - -
проблема в том, что расширения Chrome могут не поддерживать Корс я думаю. Как я могу получить информацию в обход CORS? Как я должен реагировать на предполетную проверку?
6 ответов:
У меня такие же требования к публичному API, для которого я использовал rails-api.
Я также установил заголовок в фильтре before. Выглядит это так:
headers['Access-Control-Allow-Origin'] = '*' headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS' headers['Access-Control-Request-Method'] = '*' headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'Кажется, вы пропустили заголовок Access-Control-Request-Method.
посмотреть rack-cors промежуточное. Он будет обрабатывать заголовки CORS настраиваемым образом.
просто вы можете добавить шкаф-cors самоцвет https://rubygems.org/gems/rack-cors/versions/0.4.0
1-й шаг: добавьте драгоценный камень в свой Gemfile:
gem 'rack-cors', :require => 'rack/cors'а затем сохраните и запустите
bundle install2-й шаг: обновите конфигурацию / приложение.rb файл, добавив Это:
config.middleware.insert_before 0, Rack::Cors do allow do origins '*' resource '*', :headers => :any, :methods => [:get, :post, :options] end endдля получения более подробной информации вы можете перейти к https://github.com/cyu/rack-cors Особенно если вы не используете рельсы 5.
у меня были проблемы, особенно с Chrome, а также. То, что вы сделали, по сути, похоже на то, что я сделал в своем приложении. Единственное различие заключается в том, что я отвечаю с правильными именами хостов в заголовках Origin CORS, а не подстановочным знаком. Мне кажется, что хром придирчив с этим.
переключение между разработкой и производством-это боль, поэтому я написал эту маленькую функцию, которая помогает в режиме разработки и в режиме производства. Все следующие вещи происходят в моем
application_controller.rbесли не указано иное, это может быть не лучшим решением, но rack-cors у меня тоже не получилось, не помню почему.def add_cors_headers origin = request.headers["Origin"] unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:") origin = "https://your.production-site.org" end headers['Access-Control-Allow-Origin'] = origin headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE' allow_headers = request.headers["Access-Control-Request-Headers"] if allow_headers.nil? #shouldn't happen, but better be safe allow_headers = 'Origin, Authorization, Accept, Content-Type' end headers['Access-Control-Allow-Headers'] = allow_headers headers['Access-Control-Allow-Credentials'] = 'true' headers['Access-Control-Max-Age'] = '1728000' endи тогда у меня есть эта маленькая вещь в моем
application_controller.rbпотому что мой сайт требует логин:before_filter :add_cors_headers before_filter {authenticate_user! unless request.method == "OPTIONS"}в своем
routes.rbу меня тоже есть эта штука:match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}и этот метод выглядит так:
def empty render :nothing => true end
У меня была аналогичная проблема раньше, когда оказалось, что это веб-браузер (chrome в моем случае), который был проблемой.
Если вы используете chrome, попробуйте запустить его так:
Для Windows:
1) создайте ярлык для Chrome на рабочем столе. Щелкните правой кнопкой мыши на ярлыке и выберите Свойства, Затем перейдите на вкладку "Ярлык".
2) в поле" цель " добавьте следующее: –args –disable-web-security
для Mac, откройте окно терминала и запустить его из командной строки: откройте ~ / приложения / Google\ Chrome.приложение/ –Параметры –отключить-веб-безопасности
выше информация из:
попробуйте настроить в /config / application.РБ:
config.middleware.insert_before 0, "Rack::Cors" do allow do origins '*' resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true end end
Comments