CORSポリシーを通じて何でも許可
Corsを無効にするにはどうすればよいですか?何らかの理由で、許可されたオリジンとヘッダーをワイルドカードにしましたが、Ajaxリクエストは依然として、オリジンが私のCORSポリシーで許可されていないと文句を言います。
私のアプリケーションコントローラー:
class ApplicationController < ActionController::Base
protect_from_forgery
before_filter :current_user, :cors_preflight_check
after_filter :cors_set_access_control_headers
# For all responses in this controller, return the CORS access control headers.
def cors_set_access_control_headers
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = "1728000"
end
# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.
def cors_preflight_check
if request.method == :options
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
headers['Access-Control-Allow-Headers'] = '*'
headers['Access-Control-Max-Age'] = '1728000'
render :text => '', :content_type => 'text/plain'
end
end
private
# get the user currently logged in
def current_user
@current_user ||= User.find(session[:user_id]) if session[:user_id]
end
helper_method :current_user
end
ルート:
match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
match "/alert" => "alerts#create"
match "/alerts" => "alerts#get"
match "/login" => "sessions#create"
match "/logout" => "sessions#destroy"
match "/register" => "users#create"
編集---
私も試しました:
config.middleware.use Rack::Cors do
allow do
origins '*'
resource '*',
:headers => :any,
:methods => [:get, :post, :delete, :put, :options]
end
end
application.rb内
-edit 2 ---
問題は、Chrome拡張機能がCORSをサポートしていない可能性があることです。 CORSをバイパスして情報を取得するにはどうすればよいですか?プリフライトチェックにはどのように対応すればよいですか?
Rails-apiを使用したパブリックAPIについても同じ要件があります。
Beforeフィルターにもヘッダーを設定しました。次のようになります。
headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'
Access-Control-Request-Methodヘッダーを見逃したようです。
rack-cors ミドルウェアをご覧ください。設定可能な方法でCORSヘッダーを処理します。
Rack-cors gemを追加するだけです https://rubygems.org/gems/rack-cors/versions/0.4.
最初のステップ:Gemfileにgemを追加します。
gem 'rack-cors', :require => 'rack/cors'
そして、保存して実行しますbundle install
2番目のステップ:これを追加してconfig/application.rbファイルを更新します。
config.middleware.insert_before 0, Rack::Cors do
allow do
origins '*'
resource '*', :headers => :any, :methods => [:get, :post, :options]
end
end
詳細については、 https://github.com/cyu/rack-cors をご覧ください。Railsを使用しない場合は特別です。
特にChromeにも問題がありました。あなたがしたことは、基本的に私がアプリケーションでやったことのように見えます。唯一の違いは、ワイルドカードではなく、Origin CORSヘッダーに正しいホスト名で応答することです。 Chromeはこれにうるさいようです。
開発と本番の切り替えは苦痛なので、開発モードと本番モードで役立つこの小さな関数を作成しました。特に明記しない限り、以下のことはすべてapplication_controller.rbで発生しますが、最良の解決策ではないかもしれませんが、 rack-cors が機能しませんでした。理由を思い出せません。
def add_cors_headers
Origin = request.headers["Origin"]
unless (not Origin.nil?) and (Origin == "http://localhost" or Origin.starts_with? "http://localhost:")
Origin = "https://your.production-site.org"
end
headers['Access-Control-Allow-Origin'] = Origin
headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
allow_headers = request.headers["Access-Control-Request-Headers"]
if allow_headers.nil?
#shouldn't happen, but better be safe
allow_headers = 'Origin, Authorization, Accept, Content-Type'
end
headers['Access-Control-Allow-Headers'] = allow_headers
headers['Access-Control-Allow-Credentials'] = 'true'
headers['Access-Control-Max-Age'] = '1728000'
end
私のサイトではログインが必要なため、application_controller.rbにこの小さなものがあります。
before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}
私のroutes.rbにも次のものがあります。
match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}
このメソッドは次のようになります。
def empty
render :nothing => true
end
私が以前に同様の問題を抱えていたのは、それがWebブラウザ(私の場合はクロム)であることが判明したときでした。
Chromeを使用している場合は、次のように起動してみてください。
Windowsの場合:
1)デスクトップでChromeへのショートカットを作成します。ショートカットを右クリックして[プロパティ]を選択し、[ショートカット]タブに切り替えます。
2)「ターゲット」フィールドに、以下を追加します。–args –disable-web-security
Macの場合、ターミナルウィンドウを開き、コマンドラインから次を実行します。〜/ Applications/Google\Chrome.app/ –args –disable-web-securityを開きます
上記の情報:
本番環境のRailsアプリケーションでこの問題が発生しました。ここでの多くの回答は私にヒントを与え、私にとってうまくいく答えに最終的に到達するのを助けました。
私はNginxを実行していますが、my_app.confファイルを変更するだけで十分に簡単でした(ここでmy_appはアプリ名です)。このファイルは/etc/nginx/conf.dにあります
location / {}がまだない場合は、server {}の下に追加するだけで、add_header 'Access-Control-Allow-Origin' '*';の下にlocation / {}を追加できます。
最終的な形式は次のようになります。
server {
server_name ...;
listen ...;
root ...;
location / {
add_header 'Access-Control-Allow-Origin' '*';
}
}