Errore CORS Access-Control-Allow-Headers con API dopo l'aggiornamento di Discourse

pablogg · 12 Aprile 2020, 4:51pm

Ho aggiornato Discourse ieri e ricevo errori in tutti i callback API. Ho scoperto che il problema riguarda le intestazioni di autenticazione (1), ma provando alcune chiamate ricevo questo errore:

Access to XMLHttpRequest at 'https://mydomain.com/notifications.json?username=admin' from origin 'https://mydomain.com' has been blocked by CORS policy: Request header field api-username is not allowed by Access-Control-Allow-Headers in preflight response.

Sto usando Vue e ho aggiunto api-key e api-username alle intestazioni in questo modo:

Vue.http
        .get(
             "https://discourse.mydomain.com/notifications.json?username="+input.username,
          {
            headers: {
             "Api-Key":"xxxxxxxxxxxxxxxxx",
             "Api-Username": "system",
              "content-type": "application/json",
              accept: "application/json"
            }
          }
        )

(1) Discourse REST API Documentation

blake · 12 Aprile 2020, 5:29pm

Potrebbe essere necessario configurare CORS nelle impostazioni del tuo sito?

pablogg · 12 Aprile 2020, 5:54pm

Sì, ho aggiunto il dominio da cui chiamo l’API nelle impostazioni di Discourse, ma quell’errore relativo al campo api-username: non so quando debba risolverlo.

RGJ · 12 Aprile 2020, 6:05pm

Stai inserendo la tua chiave API system nel codice lato client?
Questo significa che chiunque può prenderla dal tuo codice JavaScript e usarla per possedere completamente il tuo forum.

Qualsiasi richiesta HTTP Ajax a Discourse dovrebbe sfruttare una sessione esistente o non averne affatto bisogno.

pablogg · 12 Aprile 2020, 6:09pm

Non è solo un test, sto usando il nome utente

      Vue.http
    .get(
      "https://discourse.mydomain.com/notifications.json?username="+input.username,
      {
        headers: {
       "Api-Key":"xxxxxxxxxxxxxxxxxxxxxx",
        "Api-Username": input.username    
        }
      }
    )

Ma ricevo lo stesso errore relativo a CORS e al campo api-username.

RGJ · 12 Aprile 2020, 6:09pm

Lascia che ripeta quanto ho detto:

Questo significa: nessun header di autenticazione. Per nessun motivo.

blake · 12 Aprile 2020, 6:24pm

Non dovresti davvero utilizzare queste credenziali API per le richieste CORS, ed è per questo che quel campo di intestazione non è consentito.

Tuttavia, permettiamo le intestazioni user-api nelle richieste CORS:

pablogg · 12 Aprile 2020, 7:14pm

Ho letto la specificazione delle chiavi API utente…

Nel mio caso, ho un SSO con un’app frontend in JavaScript. È possibile utilizzare l’API senza dover mostrare l’interfaccia di autorizzazione per ogni utente? Vorrei un modo per utilizzare l’api-username… è possibile?

Saluti

federico_lezcano · 22 Luglio 2020, 4:39am

Potresti risolvere questo?
Grazie!

pablogg · 22 Luglio 2020, 7:27am

Alla fine, sono tornato alla versione precedente di Discourse così non ho dovuto modificare tutte le integrazioni API

Argomento		Risposte	Visualizzazioni
CORS error accessing API from javascript application Development	11	3866	Aprile 9, 2023
API CORS Headers Incorrect Support	11	3047	Giugno 8, 2023
Having issue accessing the Discourse APIs from react app Development rest-api	6	909	Aprile 10, 2023
Getting an error while trying to fetch individual posts General	1	909	Aprile 14, 2022
Issue with Api Development	1	913	Agosto 16, 2022

Errore CORS Access-Control-Allow-Headers con API dopo l'aggiornamento di Discourse

Argomenti correlati