Problema com caminho relativo causando erro CORS em sites Discourse

Yt.w · Outubro 27, 2024, 6:27am

O seguinte código em lib/highlight_js.rb funciona em alguns domínios, mas não em outros:

def self.path
    "/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

Tenho dois sites Discourse. Este código funciona no domínio www.abc.com, mas não funciona em efg.com. No console do navegador, vejo o seguinte erro:

formatter.js:383 Uncaught (in promise) TypeError: Failed to resolve module specifier '/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js'. A URL base é about:blank porque import() é chamado de um script CORS-cross-origin.

Após modificar self.path em highlight_js.rb da seguinte forma:

def self.path
    "https://#{Discourse.current_hostname}/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

o problema foi resolvido.

Parece que usar um caminho relativo como
import('/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js')
causa um problema de CORS, enquanto usar uma URL absoluta,
import('https://efg.com/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js') , funciona bem.

NateDhaliwal · Outubro 27, 2024, 8:22am

Estranho que funcione com abc.com mas não com efg.com, já que as 2 rotas diferentes são completamente distintas

Yt.w · Outubro 27, 2024, 9:04am

Quero dizer que funciona com www.abc.com, mas não com efg.com. Não tenho certeza do porquê, mas acontece nos meus casos.

simonk · Outubro 28, 2024, 11:49am

Você está usando uma CDN em algum desses sites? Notei que a coloração de código não está mais funcionando no meu site, e acho que é por causa disso:

No meu caso, minha CDN não está retornando um cabeçalho Access-Control-Allow-Origin para o arquivo highlightjs. Notei que a CDN do Meta inclui esse cabeçalho, então me pergunto o que é diferente.

$ curl --silent -I https://d3bpeqsaub0i6y.cloudfront.net/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control
access-control-allow-origin: *
access-control-allow-methods: GET, HEAD, OPTIONS

No entanto, esses cabeçalhos não estão sendo servidos pelo servidor de origem:

$ curl --silent -I https://meta.discourse.org/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control

Pelo que pude apurar, o Discourse deve adicionar cabeçalhos access-control aos arquivos highlightjs:

github.com/discourse/discourse

app/controllers/highlight_js_controller.rb

27c20eeac


      
          # frozen_string_literal: true
          
          class HighlightJsController < ApplicationController
            skip_before_action :preload_json,
                               :redirect_to_login_if_required,
                               :redirect_to_profile_if_required,
                               :check_xhr,
                               :verify_authenticity_token,
                               only: [:show]
          
            before_action :apply_cdn_headers, only: [:show]
          
            def show
              no_cookies
          
              RailsMultisite::ConnectionManagement.with_hostname(params[:hostname]) do
                current_version = HighlightJs.version(SiteSetting.highlighted_languages)
          
                return redirect_to path(HighlightJs.path) if current_version != params[:version]
          
                # note, this can be slightly optimised by caching the bundled file, it cuts down on N reads

No entanto, esses cabeçalhos só são aplicados se a solicitação for uma “solicitação de CDN”:

github.com/discourse/discourse

app/controllers/application_controller.rb

27c20eeac


      
            return unless mini_profiler_enabled?
            Rack::MiniProfiler.authorize_request
          end
          
          def check_xhr
            # bypass xhr check on PUT / POST / DELETE provided api key is there, otherwise calling api is annoying
            return if !request.get? && (is_api? || is_user_api?)
            raise ApplicationController::RenderEmpty.new if !request.format&.json? && !request.xhr?
          end
          
          def apply_cdn_headers
            if Discourse.is_cdn_request?(request.env, request.method)
              Discourse.apply_cdn_headers(response.headers)
            end
          end
          
          def self.requires_login(arg = {})
            @requires_login_arg = arg
          end
          
          def self.requires_login_arg

github.com/discourse/discourse

lib/discourse.rb

27c20eeac


      
          end
          
          mattr_accessor :redis
          
          def self.is_parallel_test?
            ENV["RAILS_ENV"] == "test" && ENV["TEST_ENV_NUMBER"]
          end
          
          CDN_REQUEST_METHODS ||= %w[GET HEAD OPTIONS]
          
          def self.is_cdn_request?(env, request_method)
            return if CDN_REQUEST_METHODS.exclude?(request_method)
          
            cdn_hostnames = GlobalSetting.cdn_hostnames
            return if cdn_hostnames.blank?
          
            requested_hostname = env[REQUESTED_HOSTNAME] || env[Rack::HTTP_HOST]
            cdn_hostnames.include?(requested_hostname)
          end
          
          def self.apply_cdn_headers(headers)

Isso só funciona se o Discourse for configurado com um nome de host separado para “solicitações de CDN”.

simonk · Outubro 28, 2024, 12:02pm

Existe uma configuração, cdn_origin_hostname, que talvez possa ser definida para o nome de host normal do Discourse:

github.com/discourse/discourse

app/models/global_setting.rb

27c20eeac


      
          end
          
          # for testing
          def self.reset_s3_cache!
            @use_s3 = nil
          end
          
          def self.cdn_hostnames
            hostnames = []
            hostnames << URI.parse(cdn_url).host if cdn_url.present?
            hostnames << cdn_origin_hostname if cdn_origin_hostname.present?
            hostnames
          end
          
          def self.database_config
            hash = { "adapter" => "postgresql" }
          
            %w[
              pool
              connect_timeout
              socket

github.com/discourse/discourse

config/discourse_defaults.conf

27c20eeac


      
          
          # authorization key that will be included as a header in requests made by the
          # snapshots transporter to the URL specified above. The destination should
          # know this key and only accept requests that have this key in the
          # `Mini-Profiler-Transport-Auth` header.
          mini_profiler_snapshots_transport_auth_key =
          
          # recommended, cdn used to access assets
          cdn_url =
          
          # The hostname used by the CDN to request assets
          cdn_origin_hostname =
          
          # comma delimited list of emails that have developer level access
          developer_emails =
          
          # redis server address
          redis_host = localhost
          
          # redis server port
          redis_port = 6379

Acho que isso faria a verificação is_cdn_request passar, mas não sei se teria algum efeito colateral negativo.

Yt.w · Outubro 28, 2024, 12:48pm

Sim, estou usando um CDN em efg.com, mas quando acesso o arquivo js ele me retorna um Access-Control-Allow-Origin correto, o que me deixa bastante confuso.

simonk · Outubro 29, 2024, 5:48pm

Como acompanhamento, defini cdn_origin_hostname para o nome de domínio normal da minha instância do Discourse, limpei o cache do CDN e agora o highlightjs está funcionando novamente. Eu ainda não notei nenhum efeito colateral…

cuo_wu · Maio 18, 2025, 11:34am

Eu também enfrento esse problema. Alguma atualização?

Tópico		Respostas	Visualizações
Code highlighting failed because bunny.net CDN Support cdn , cors	4	1169	8 de Março de 2024
How to enable syntax highlighting? Support	5	97	27 de Outubro de 2024
Aborting! CDN must have a protocol specified Support	7	939	27 de Maio de 2019
Need relative URLs for uploaded images Support	8	1283	22 de Janeiro de 2021
Image upload, relative path instead of full path Support	6	1096	8 de Junho de 2024

Problema com caminho relativo causando erro CORS em sites Discourse

Tópicos relacionados