CORS Problem: Immer Fehler "No" Access-Control-Allow-Origin' - header vorhanden ist", als es tatsächlich ist

Ich bezweifle, dass das backend dient meine app ist wichtig, aber wenn Sie Pflege, ich bin mit rack-cors mit Rails 4.0 app.

Verwendung von jQuery, sende ich Ihnen meine app ein PATCH Anfrage wie folgt:

$.ajax({
  url: "http://example.com/whatever",
  type: "PATCH",
  data: { something: "something else" }
})

Wenn ich auslösen das aufrufen von Chrome, sehe ich eine erfolgreiche OPTIONS Wunsch gehen, der gibt diese Header von meinem server:

Access-Control-Allow-Credentials:true
Access-Control-Allow-Headers:accept, content-type
Access-Control-Allow-Methods:GET, PUT, PATCH, OPTIONS
Access-Control-Allow-Origin: http://sending-app.localhost:3000
Access-Control-Expose-Headers:
Access-Control-Max-Age:15

Dann sehe ich einen PATCH Anfrage gehen, die wirft diesen Fehler:

XMLHttpRequest-Objekt kann nicht geladen werden http://example.com/whatever. Kein "Access-Control-Allow-Origin' - header vorhanden ist, auf die angeforderte Ressource. Herkunft 'http://sending-app.localhost:3000' ist daher nicht der Zugriff erlaubt.

Ich habe versucht, das Umschalten von PATCH zu PUT mit dem gleichen Ergebnis.

Diese macht keinen Sinn für mich. Was ist Los?

Update: Meine config/application.rb

Dachte ich, dass der Header die ganze Geschichte erzählt, aber da die Menschen verwirrt sind, hier ist meine config/application.rb - Datei, die ist, wie die rack-cors-plugin für Rails konfiguriert ist:

config.middleware.use Rack::Cors do
  allow do
    origins '*'
    resource '*',
      :headers => :any,
      :methods => [:get, :put, :patch, :options],
      :max_age => 15
  end
end
  • Was macht Ihr application.rb Aussehen?
  • Ich habe meine application.rb, für was es Wert ist.
InformationsquelleAutor chadoh | 2013-12-21
  1. 6

    Auszuschließen Schienen CSRF-Prüfung an der Aktion 😉

    Ist, Schienen überprüft, die für eine Authentizität token mit update/Anfragen. In Ihrem Rails-app, dieses token wird Hinzugefügt, um alle Ihre Formen. Aber mit javascript-Anfragen, darunter ist es schwierig.

    Können Sie überspringen, überprüfen Sie es für eine Aktion, indem diese Ihren controller:

    skip_before_filter :verify_authenticity_token, :only => [:update]

    BTW, dein problem hat nichts zu tun mit CORS, du warst immer eine schlechte Fehlermeldung im browser angezeigt. Die Schienen-log erzählt die real Geschichte.

    • -1 warum überspringen csrf, wenn Sie können einfach fügen Sie die csrf-token zu allen ajax sendet (posting Antwort unten)
    • Warum die -1? Dies war der fix für das Problem. Die Anfrage kommt von einer separaten app ohne wissen des CSRF-token.
    • Denn die Lösung ist das deaktivieren von csrf. Das klingt wie ein Sicherheits-Loch. Allerdings, wenn es eine authentifizierte Anfrage, dass klingt schon mal gut.
    • Fair genug. Sie können nicht erwarten Benutzer von einem externen Dienstleister, um eine CSRF-token. Diese wird ausgelöst von einer app, während der Endpunkt lebt in einer anderen app, also wird es über mehrere domains hinweg. Wenn alle in die gleiche app, ich würde mit Ihnen einverstanden.
    • Schneller Vorlauf bis 2018 und die jetzt skip_before_action mit Schienen 5 (und technisch mit Schienen 4 auch).
    InformationsquelleAutor brandonhilkert
  2. 3

    Möchten Sie vielleicht fügen Sie diese zu Ihrem config/application.rb Datei:

    #config/application.rb
config.middleware.use Rack::Cors do
  allow do
    origins '*'
    resource '/*', :headers => :any, :methods => :patch
  end
end

    Den resource Teil ist, wo Sie festlegen können, welche Methoden /Anforderungen Ihre endpoint akzeptieren kann!

    Hoffe, das hilft

    • Sorry, ich dachte die zeigen nur die Header zurückgegeben würde darauf hinweisen, dass ich hatte dies schon getan. Dies ist ein Problem von HTTP-Headern, keine Schienen config, so wollte ich die Frage allgemein zugänglich und nicht Unordnung, die es mit unnötigen Schienen Zeug. Ich habe nun meine rack-cors setup, dass ich in config/application.rb.
    • Dank bud - in welcher Umgebung sind Sie sehen diese Fehlermeldung auf? Produktion und/oder Entwicklung? Können Sie beschreiben, wie die Installation?
    • Ich sehe das in der Produktion, die auf Heroku. Es ist ziemlich nah an vanilla Schienen 4; rack-cors ist das einzige Rack-middleware, die ich Hinzugefügt habe.
    • Seltsam - wir arbeiten mit Heroku Produktion für eine Weile, und haben diese Funktionalität arbeiten. Haben Sie Ihre Routen & controller-Aktion einrichten, um die Anfrage zu behandeln?
    • Ich sicher nicht! Ich habe die specs auf dieser PATCH Endpunkt und es tut alles was ich möchte, es zu tun.
    • Jede chance, die Sie könnten versuchen, eine andere Methode, andere als patch? Was post (nur als test)?
    • lassen Sie uns weiter, diese Diskussion im chat

    InformationsquelleAutor Richard Peck
  3. 1

    Dies ist einige seltsame Sachen.

    A) Als Testversion, die Sie sollten versuchen, die Eingabe in * als Ihr erlaubt Herkunft.

    B) Ist das eine whitespace-Problem? Nach der Doppelpunkte, die Sie nicht haben Räume, in einige der Optionen.

    C) Das sieht aus wie ein "preflighted request" (https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS). Ein preflighted request ist einer, der nicht mit "application/x-www-form-urlencoded", die ihrige werden sollte. http://api.jquery.com/jquery.ajax/ Staaten der default content type x-www-form-urlencoded, und Sie sind nicht übergeordneten Inhaltstyp. Das heißt, es sollte nicht müssen, werden 2 Anfragen.

    D) Wie oben erwähnt, CSRF könnte das Problem sein. Ich bin kein rails person. Wenn es ist auch die Frage, was können Sie tun möchten, ist fügen Sie Ihren CSRF-token zu allen ajax sendet, in etwa so:

    $.ajaxSetup({ 
    beforeSend:function(xhr, settings){
        xhr.setRequestHeader('X-CSRF-Token', '<%= csrf_token_value %>');
    } 
});

    Gibt es ein paar andere Möglichkeiten, dies zu tun. Es hängt davon ab, was Ihre frameworks/Bibliotheken müssen.

    • Das wäre in Ordnung, wenn die Anfrage nicht mehr kommt von einer ganz anderen app. Wir haben auf dem gleichen team zu arbeiten und CSRF ist das Problem in diesem Fall.
    InformationsquelleAutor Parris
  4. 0

    Hier ist was ich gefunden habe um das Problem zu lösen, die aus älteren SO Beiträge zum Umgang mit csrf-Probleme:

    # In application_controller.rb
protect_from_forgery

after_filter :set_csrf_cookie

def set_csrf_cookie
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
end

protected

# In Rails 4.2 and above
def verified_request?
  super || valid_authenticity_token?(session, request.headers['X-XSRF-TOKEN'])
end
    InformationsquelleAutor Myk Klemme
Schreibe einen Kommentar