Problem mit relativem Pfad verursacht CORS-Fehler auf Discourse-Seiten

Yt.w · 27. Oktober 2024 um 06:27

Der folgende Code in lib/highlight_js.rb funktioniert auf einigen Domains, aber nicht auf anderen:

def self.path
    "/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

Ich habe zwei Discourse-Sites. Dieser Code funktioniert auf der Domain www.abc.com, aber nicht auf efg.com. In der Browserkonsole sehe ich folgende Fehlermeldung:

formatter.js:383 Uncaught (in promise) TypeError: Failed to resolve module specifier '/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js'. Die Basis-URL ist about:blank, da import() aus einem CORS-übergreifenden Skript aufgerufen wird.

Nachdem self.path in highlight_js.rb wie folgt geändert wurde:

def self.path
    "https://#{Discourse.current_hostname}/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

wurde das Problem behoben.

Es scheint, dass die Verwendung eines relativen Pfads wie
import('/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js')
ein CORS-Problem verursacht, während die Verwendung einer absoluten URL,
import('https://efg.com/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js') ,
einwandfrei funktioniert.

NateDhaliwal · 27. Oktober 2024 um 08:22

Seltsam, dass es mit abc.com funktioniert, aber nicht mit efg.com, da die 2 verschiedenen Routen völlig unterschiedlich sind

Yt.w · 27. Oktober 2024 um 09:04

Ich meine, es funktioniert mit www.abc.com, aber nicht mit efg.com. Ich bin mir nicht sicher, warum, aber es passiert in meinen Fällen.

simonk · 28. Oktober 2024 um 11:49

Verwenden Sie auf einer dieser Websites ein CDN? Ich habe festgestellt, dass die Codehervorhebung auf meiner Website nicht mehr funktioniert, und ich glaube, das liegt daran:

In meinem Fall gibt mein CDN keinen Access-Control-Allow-Origin-Header für die highlightjs-Datei zurück. Ich bemerke, dass Metas CDN diesen Header enthält, daher frage ich mich, was anders ist.

$ curl --silent -I https://d3bpeqsaub0i6y.cloudfront.net/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control
access-control-allow-origin: *
access-control-allow-methods: GET, HEAD, OPTIONS

Diese Header werden jedoch nicht vom Ursprungsserver bereitgestellt:

$ curl --silent -I https://meta.discourse.org/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control

Soweit ich das beurteilen kann, ist Discourse dafür gedacht, Access-Control-Header zu den highlightjs-Dateien hinzuzufügen:

github.com/discourse/discourse

app/controllers/highlight_js_controller.rb

27c20eeac


      
          # frozen_string_literal: true
          
          class HighlightJsController < ApplicationController
            skip_before_action :preload_json,
                               :redirect_to_login_if_required,
                               :redirect_to_profile_if_required,
                               :check_xhr,
                               :verify_authenticity_token,
                               only: [:show]
          
            before_action :apply_cdn_headers, only: [:show]
          
            def show
              no_cookies
          
              RailsMultisite::ConnectionManagement.with_hostname(params[:hostname]) do
                current_version = HighlightJs.version(SiteSetting.highlighted_languages)
          
                return redirect_to path(HighlightJs.path) if current_version != params[:version]
          
                # note, this can be slightly optimised by caching the bundled file, it cuts down on N reads

Allerdings werden diese Header nur angewendet, wenn die Anfrage eine „CDN-Anfrage“ ist:

github.com/discourse/discourse

app/controllers/application_controller.rb

27c20eeac


      
            return unless mini_profiler_enabled?
            Rack::MiniProfiler.authorize_request
          end
          
          def check_xhr
            # bypass xhr check on PUT / POST / DELETE provided api key is there, otherwise calling api is annoying
            return if !request.get? && (is_api? || is_user_api?)
            raise ApplicationController::RenderEmpty.new if !request.format&.json? && !request.xhr?
          end
          
          def apply_cdn_headers
            if Discourse.is_cdn_request?(request.env, request.method)
              Discourse.apply_cdn_headers(response.headers)
            end
          end
          
          def self.requires_login(arg = {})
            @requires_login_arg = arg
          end
          
          def self.requires_login_arg

github.com/discourse/discourse

lib/discourse.rb

27c20eeac


      
          end
          
          mattr_accessor :redis
          
          def self.is_parallel_test?
            ENV["RAILS_ENV"] == "test" && ENV["TEST_ENV_NUMBER"]
          end
          
          CDN_REQUEST_METHODS ||= %w[GET HEAD OPTIONS]
          
          def self.is_cdn_request?(env, request_method)
            return if CDN_REQUEST_METHODS.exclude?(request_method)
          
            cdn_hostnames = GlobalSetting.cdn_hostnames
            return if cdn_hostnames.blank?
          
            requested_hostname = env[REQUESTED_HOSTNAME] || env[Rack::HTTP_HOST]
            cdn_hostnames.include?(requested_hostname)
          end
          
          def self.apply_cdn_headers(headers)

Dies funktioniert nur, wenn Discourse mit einem separaten Hostnamen für „CDN-Anfragen“ konfiguriert ist.

simonk · 28. Oktober 2024 um 12:02

Es gibt eine Einstellung, cdn_origin_hostname, die vielleicht auf den normalen Discourse-Hostnamen gesetzt werden könnte:

github.com/discourse/discourse

app/models/global_setting.rb

27c20eeac


      
          end
          
          # for testing
          def self.reset_s3_cache!
            @use_s3 = nil
          end
          
          def self.cdn_hostnames
            hostnames = []
            hostnames << URI.parse(cdn_url).host if cdn_url.present?
            hostnames << cdn_origin_hostname if cdn_origin_hostname.present?
            hostnames
          end
          
          def self.database_config
            hash = { "adapter" => "postgresql" }
          
            %w[
              pool
              connect_timeout
              socket

github.com/discourse/discourse

config/discourse_defaults.conf

27c20eeac


      
          
          # authorization key that will be included as a header in requests made by the
          # snapshots transporter to the URL specified above. The destination should
          # know this key and only accept requests that have this key in the
          # `Mini-Profiler-Transport-Auth` header.
          mini_profiler_snapshots_transport_auth_key =
          
          # recommended, cdn used to access assets
          cdn_url =
          
          # The hostname used by the CDN to request assets
          cdn_origin_hostname =
          
          # comma delimited list of emails that have developer level access
          developer_emails =
          
          # redis server address
          redis_host = localhost
          
          # redis server port
          redis_port = 6379

Ich denke, dies würde dazu führen, dass die Prüfung is_cdn_request erfolgreich ist, aber ich weiß nicht, ob dies negative Nebenwirkungen hätte.

Yt.w · 28. Oktober 2024 um 12:48

Ja, ich verwende ein CDN für efg.com, aber wenn ich auf die JS-Datei zugreife, gibt sie mir ein korrektes Access-Control-Allow-Origin zurück, was mich ziemlich verwirrt.

simonk · 29. Oktober 2024 um 17:48

Als Nachtrag: Ich habe cdn_origin_hostname auf den normalen Domainnamen meiner Discourse-Instanz gesetzt, den CDN-Cache geleert und jetzt funktioniert highlightjs wieder. Ich habe keine Nebenwirkungen bemerkt…

cuo_wu · 18. Mai 2025 um 11:34

Ich habe dieses Problem auch. Gibt es Neuigkeiten?

Thema		Antworten	Aufrufe
Code highlighting failed because bunny.net CDN Support cdn , cors	4	1171	8. März 2024
How to enable syntax highlighting? Support	5	98	27. Oktober 2024
Aborting! CDN must have a protocol specified Support	7	939	27. Mai 2019
Need relative URLs for uploaded images Support	8	1283	22. Januar 2021
Image upload, relative path instead of full path Support	6	1096	8. Juni 2024

Problem mit relativem Pfad verursacht CORS-Fehler auf Discourse-Seiten

Verwandte Themen