Erreur CORS Access-Control-Allow-Headers avec l'API après la mise à jour de Discourse

pablogg · Avril 12, 2020, 4:51

J’ai mis à jour Discourse hier et je reçois toutes les callbacks de l’API avec une erreur. J’ai constaté que le problème venait des en-têtes d’authentification (1), mais en essayant quelques appels, j’obtiens cette erreur :

L'accès à XMLHttpRequest à 'https://mydomain.com/notifications.json?username=admin' depuis l'origine 'https://mydomain.com' a été bloqué par la politique CORS : le champ d'en-tête de requête api-username n'est pas autorisé par Access-Control-Allow-Headers dans la réponse de préflight.

J’utilise Vue et j’ai ajouté api-key et api-username aux en-têtes comme ceci :

Vue.http
        .get(
             "https://discourse.mydomain.com/notifications.json?username="+input.username,
          {
            headers: {
             "Api-Key":"xxxxxxxxxxxxxxxxx",
             "Api-Username": "system",
              "content-type": "application/json",
              accept: "application/json"
            }
          }
        )

(1) Discourse REST API Documentation

blake · Avril 12, 2020, 5:29

You may need to have CORS setup in your site settings?

pablogg · Avril 12, 2020, 5:54

Yes, I have added the domain where I call the API in discourse settings, but that error about field api-username, I dont know when I have to resolve.

RGJ · Avril 12, 2020, 6:05

You are putting your system API key in client side code?
This means that anyone can grab it from your Javascript code and use it to completely own your forum.

Any Ajax HTTP requests to Discourse should be leveraging an existing session, or not be needing a session at all.

pablogg · Avril 12, 2020, 6:09

Not just a testing , I am using the username

      Vue.http
    .get(
      "https://discourse.mydomain.com/notifications.json?username="+input.username,
      {
        headers: {
       "Api-Key":"xxxxxxxxxxxxxxxxxxxxxx",
        "Api-Username": input.username    
        }
      }
    )

But I getting the same error with de Cors and the field api-username

RGJ · Avril 12, 2020, 6:09

Let me repeat what I said:

That means: no authentication headers. At all.

blake · Avril 12, 2020, 6:24

You really should not be using these API credentials for CORS requests which is why that header field is not allowed.

However we do allow the user-api headers in CORS:

pablogg · Avril 12, 2020, 7:14

I have read the User API keys specification …

In my case I have SSO with a frontend app in javascript, Could I consuming the API without using the authorization UI for every user? I would like a way that a could use de api-username … is that possible?

Regards

federico_lezcano · Juillet 22, 2020, 4:39

Pourriez-vous résoudre cela ?
Merci !

pablogg · Juillet 22, 2020, 7:27

Au final, je suis revenu à la version précédente de Discourse pour éviter de devoir modifier toute l’intégration de l’API.

Sujet		Réponses	Vues
CORS error accessing API from javascript application Development	11	3833	Avril 9, 2023
API CORS Headers Incorrect Support	11	3018	Juin 8, 2023
Having issue accessing the Discourse APIs from react app Development rest-api	6	891	Avril 10, 2023
Getting an error while trying to fetch individual posts General	1	904	Avril 14, 2022
Issue with Api Development	1	906	Août 16, 2022

Erreur CORS Access-Control-Allow-Headers avec l'API après la mise à jour de Discourse

Sujets connexes