Erreur CORS Access-Control-Allow-Headers avec l'API après la mise à jour de Discourse

pablogg · Avril 12, 2020, 4:51

J’ai mis à jour Discourse hier et je reçois toutes les callbacks de l’API avec une erreur. J’ai constaté que le problème venait des en-têtes d’authentification (1), mais en essayant quelques appels, j’obtiens cette erreur :

L'accès à XMLHttpRequest à 'https://mydomain.com/notifications.json?username=admin' depuis l'origine 'https://mydomain.com' a été bloqué par la politique CORS : le champ d'en-tête de requête api-username n'est pas autorisé par Access-Control-Allow-Headers dans la réponse de préflight.

J’utilise Vue et j’ai ajouté api-key et api-username aux en-têtes comme ceci :

Vue.http
        .get(
             "https://discourse.mydomain.com/notifications.json?username="+input.username,
          {
            headers: {
             "Api-Key":"xxxxxxxxxxxxxxxxx",
             "Api-Username": "system",
              "content-type": "application/json",
              accept: "application/json"
            }
          }
        )

(1) Discourse REST API Documentation

blake · Avril 12, 2020, 5:29

Vous devrez peut-être configurer CORS dans les paramètres de votre site ?

pablogg · Avril 12, 2020, 5:54

Oui, j’ai ajouté le domaine où j’appelle l’API dans les paramètres de Discourse, mais cette erreur concernant le champ api-username, je ne sais pas quand je dois la résoudre.

RGJ · Avril 12, 2020, 6:05

Tu mets ta clé API system dans du code côté client ?
Cela signifie que n’importe qui peut la récupérer dans ton code JavaScript et l’utiliser pour prendre complètement le contrôle de ton forum.

Toutes les requêtes HTTP Ajax vers Discourse doivent s’appuyer sur une session existante, ou ne pas nécessiter de session du tout.

pablogg · Avril 12, 2020, 6:09

Ce n’est pas seulement un test, j’utilise le nom d’utilisateur

      Vue.http
    .get(
      "https://discourse.mydomain.com/notifications.json?username="+input.username,
      {
        headers: {
       "Api-Key":"xxxxxxxxxxxxxxxxxxxxxx",
        "Api-Username": input.username    
        }
      }
    )

Mais je rencontre toujours la même erreur concernant le CORS et le champ api-username.

RGJ · Avril 12, 2020, 6:09

Laissez-moi répéter ce que j’ai dit :

Cela signifie : aucun en-tête d’authentification. Pas du tout.

blake · Avril 12, 2020, 6:24

Vous ne devriez vraiment pas utiliser ces identifiants API pour les requêtes CORS, c’est pourquoi ce champ d’en-tête n’est pas autorisé.

Cependant, nous autorisons les en-têtes user-api dans les requêtes CORS :

pablogg · Avril 12, 2020, 7:14

J’ai lu la spécification des clés API utilisateur…

Dans mon cas, j’utilise SSO avec une application frontend en JavaScript. Puis-je consommer l’API sans utiliser l’interface d’autorisation pour chaque utilisateur ? J’aimerais pouvoir utiliser l’attribut api-username… est-ce possible ?

Cordialement

federico_lezcano · Juillet 22, 2020, 4:39

Pourriez-vous résoudre cela ?
Merci !

pablogg · Juillet 22, 2020, 7:27

Au final, je suis revenu à la version précédente de Discourse pour éviter de devoir modifier toute l’intégration de l’API.

Sujet		Réponses	Vues
CORS error accessing API from javascript application Development	11	3866	Avril 9, 2023
API CORS Headers Incorrect Support	11	3049	Juin 8, 2023
Having issue accessing the Discourse APIs from react app Development rest-api	6	909	Avril 10, 2023
Getting an error while trying to fetch individual posts General	1	909	Avril 14, 2022
Issue with Api Development	1	914	Août 16, 2022

Erreur CORS Access-Control-Allow-Headers avec l'API après la mise à jour de Discourse

Sujets connexes