ruby-on-rails 通过CORS策略允许任何内容

db2dz4w8  于 2023-03-20  发布在  Ruby
关注(0)|答案(9)|浏览(144)

我怎么能禁用CORS?由于某种原因,我通配符允许的起源和头,但我 AJAX 请求仍然抱怨起源是不允许的,我的CORS政策...
我的应用程序控制器:

class ApplicationController < ActionController::Base
  protect_from_forgery
  before_filter :current_user, :cors_preflight_check
  after_filter :cors_set_access_control_headers

# For all responses in this controller, return the CORS access control headers.

def cors_set_access_control_headers
  headers['Access-Control-Allow-Origin'] = '*'
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
  headers['Access-Control-Allow-Headers'] = '*'
  headers['Access-Control-Max-Age'] = "1728000"
end

# If this is a preflight OPTIONS request, then short-circuit the
# request, return only the necessary headers and return an empty
# text/plain.

def cors_preflight_check
  if request.method == :options
    headers['Access-Control-Allow-Origin'] = '*'
    headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS'
    headers['Access-Control-Allow-Headers'] = '*'
    headers['Access-Control-Max-Age'] = '1728000'
    render :text => '', :content_type => 'text/plain'
  end
end
  private
  # get the user currently logged in
  def current_user
    @current_user ||= User.find(session[:user_id]) if session[:user_id]
  end
  helper_method :current_user

end

路线:

match "*all" => "application#cors_preflight_check", :constraints => { :method => "OPTIONS" }
  match "/alert" => "alerts#create"
  match "/alerts" => "alerts#get"
  match "/login" => "sessions#create"
  match "/logout" => "sessions#destroy"
  match "/register" => "users#create"

编辑---
我也试过:

config.middleware.use Rack::Cors do
      allow do
        origins '*'
        resource '*', 
            :headers => :any, 
            :methods => [:get, :post, :delete, :put, :options]
      end
    end

在应用程序.rb中

--编辑2---

问题是Chrome扩展可能不支持CORS。我如何绕过CORS获取信息?我应该如何响应印前检查?

6ie5vjzr

6ie5vjzr1#

我对公共API也有同样的要求,我使用了rails-api。
我还在before filter中设置了header,如下所示:

headers['Access-Control-Allow-Origin'] = '*'
headers['Access-Control-Allow-Methods'] = 'POST, PUT, DELETE, GET, OPTIONS'
headers['Access-Control-Request-Method'] = '*'
headers['Access-Control-Allow-Headers'] = 'Origin, X-Requested-With, Content-Type, Accept, Authorization'

您似乎遗漏了访问控制请求方法标头。

oyxsuwqo

oyxsuwqo2#

看看rack-cors中间件,它将以可配置的方式处理CORS头。

nc1teljy

nc1teljy3#

只需添加机架式gem https://rubygems.org/gems/rack-cors/versions/0.4.0
第1步:添加宝石到宝石文件:

gem 'rack-cors', :require => 'rack/cors'

然后保存并运行bundle install
第2步:更新您的config/application.rb文件,添加以下内容:

config.middleware.insert_before 0, Rack::Cors do
      allow do
        origins '*'
        resource '*', :headers => :any, :methods => [:get, :post, :options]
      end
    end

要了解更多详细信息,您可以访问https://github.com/cyu/rack-cors,特别是如果您不使用rails 5。

njthzxwz

njthzxwz4#

我遇到了一些问题,尤其是Chrome。你所做的和我在应用程序中所做的基本上是一样的。唯一的区别是我在Origin CORS头中使用了正确的主机名,而不是通配符。在我看来,Chrome在这方面很挑剔。
在开发和生产模式之间切换是一件痛苦的事情,所以我写了这个小函数,它可以帮助我在开发模式和生产模式之间切换。以下所有的事情都发生在我的application_controller.rb中,除非另有说明,它可能不是最好的解决方案,但rack-cors也不适合我,我不记得为什么了。

def add_cors_headers
  origin = request.headers["Origin"]
  unless (not origin.nil?) and (origin == "http://localhost" or origin.starts_with? "http://localhost:")
    origin = "https://your.production-site.org"
  end
  headers['Access-Control-Allow-Origin'] = origin
  headers['Access-Control-Allow-Methods'] = 'POST, GET, OPTIONS, PUT, DELETE'
  allow_headers = request.headers["Access-Control-Request-Headers"]
  if allow_headers.nil?
    #shouldn't happen, but better be safe
    allow_headers = 'Origin, Authorization, Accept, Content-Type'
  end
  headers['Access-Control-Allow-Headers'] = allow_headers
  headers['Access-Control-Allow-Credentials'] = 'true'
  headers['Access-Control-Max-Age'] = '1728000'
end

然后我在application_controller.rb中有这个小东西,因为我的站点需要登录:

before_filter :add_cors_headers
before_filter {authenticate_user! unless request.method == "OPTIONS"}

在我的routes.rb中,我也有这样的东西:

match '*path', :controller => 'application', :action => 'empty', :constraints => {:method => "OPTIONS"}

这个方法看起来像这样

def empty
  render :nothing => true
end
gg58donl

gg58donl5#

我以前也遇到过类似的问题,原来是网络浏览器(在我的情况下是Chrome)的问题。
如果您使用的是chrome浏览器,请尝试启动它:
对于Windows:
1)在桌面上创建Chrome浏览器的快捷方式,右键点击快捷方式并选择属性,然后切换到“快捷方式”选项卡。
2)在“目标”字段中,添加以下内容:-args -禁用Web安全性
对于Mac,打开一个终端窗口,并从命令行运行此:打开~/应用程序/Google\Chrome.app/-参数-禁用网络安全
上述信息来自:
http://documentumcookbook.wordpress.com/2012/03/13/disable-cross-domain-javascript-security-in-chrome-for-development/

pftdvrlh

pftdvrlh6#

我在生产中的rails应用程序中遇到了这个问题。这里的很多答案给了我提示,帮助我最终找到了一个对我来说很好的答案。
我运行的是Nginx,修改 my_app.conf 文件(其中 my_app 是您的应用程序名称)就足够简单了。
如果您还没有location / {},您可以将其添加到server {}下,然后将add_header 'Access-Control-Allow-Origin' '*';添加到location / {}下。
最终格式应如下所示:

server {
    server_name ...;
    listen ...;
    root ...;

    location / {
        add_header 'Access-Control-Allow-Origin' '*';
    }
}
xfyts7mz

xfyts7mz7#

我来到这里寻找一个CORS政策,允许一切/任何事情。
下面是我使用的方法:

[
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "PUT",
            "POST",
            "GET",
            "DELETE",
            "HEAD"
        ],
        "AllowedOrigins": [
            "*"
        ],
        "ExposeHeaders": []
    }
]
2lpgd968

2lpgd9688#

尝试在/config/application.rb中进行配置:

config.middleware.insert_before 0, "Rack::Cors" do
  allow do
    origins '*'
    resource '*', :headers => :any, :methods => [:get, :post, :options, :delete, :put, :patch], credentials: true
  end
end
neskvpey

neskvpey9#

使用VSC或任何其他具有Live服务器的编辑器,它将为您提供一个允许您使用GET或FETCH的代理

相关问题