Проблема с относительным путем вызывает ошибку CORS на сайтах Discourse

Yt.w · 27.Октябрь.2024 06:27:11

Следующий код в lib/highlight_js.rb работает на некоторых доменах, но не на других:

def self.path
    "/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

У меня есть два сайта Discourse. Этот код работает на домене www.abc.com, но не работает на efg.com. В консоли браузера я вижу следующую ошибку:

formatter.js:383 Uncaught (in promise) TypeError: Failed to resolve module specifier '/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js'. The base URL is about:blank because import() is called from a CORS-cross-origin script.

После изменения self.path в файле highlight_js.rb следующим образом:

def self.path
    "https://#{Discourse.current_hostname}/highlight-js/#{Discourse.current_hostname}/#{version SiteSetting.highlighted_languages}.js"
end

проблема была решена.

Похоже, что использование относительного пути, такого как
import('/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js'),
вызывает проблему CORS, тогда как использование абсолютного URL,
import('https://efg.com/highlight-js/efg.com/9797975efac87d28baa695ae13ca72ccaf5120f5.js'), работает корректно.

NateDhaliwal · 27.Октябрь.2024 08:22:17

Странно, что работает с abc.com, но не с efg.com, ведь эти два разных маршрута совершенно не связаны

Yt.w · 27.Октябрь.2024 09:04:35

Я имею в виду, что это работает с www.abc.com, но не с efg.com. Не уверен, почему, но у меня такое случается.

simonk · 28.Октябрь.2024 11:49:35

Используете ли вы CDN на одном из этих сайтов? Я заметил, что подсветка кода перестала работать на моём сайте, и, думаю, это связано с этим:

В моём случае мой CDN не возвращает заголовок Access-Control-Allow-Origin для файла highlightjs. Я вижу, что CDN Meta включает этот заголовок, поэтому интересно, в чём разница.

$ curl --silent -I https://d3bpeqsaub0i6y.cloudfront.net/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control
access-control-allow-origin: *
access-control-allow-methods: GET, HEAD, OPTIONS

Однако эти заголовки не отправляются исходным сервером:

$ curl --silent -I https://meta.discourse.org/highlight-js/meta.discourse.org/9797975efac87d28baa695ae13ca72ccaf5120f5.js | grep -i access-control
<no output>

Насколько я могу судить, Discourse должен добавлять заголовки access-control к файлам highlightjs:

github.com/discourse/discourse

app/controllers/highlight_js_controller.rb

27c20eeac


      
          # frozen_string_literal: true
          
          class HighlightJsController < ApplicationController
            skip_before_action :preload_json,
                               :redirect_to_login_if_required,
                               :redirect_to_profile_if_required,
                               :check_xhr,
                               :verify_authenticity_token,
                               only: [:show]
          
            before_action :apply_cdn_headers, only: [:show]
          
            def show
              no_cookies
          
              RailsMultisite::ConnectionManagement.with_hostname(params[:hostname]) do
                current_version = HighlightJs.version(SiteSetting.highlighted_languages)
          
                return redirect_to path(HighlightJs.path) if current_version != params[:version]
          
                # note, this can be slightly optimised by caching the bundled file, it cuts down on N reads

Однако эти заголовки применяются только если запрос является «запросом к CDN»:

github.com/discourse/discourse

app/controllers/application_controller.rb

27c20eeac


      
            return unless mini_profiler_enabled?
            Rack::MiniProfiler.authorize_request
          end
          
          def check_xhr
            # bypass xhr check on PUT / POST / DELETE provided api key is there, otherwise calling api is annoying
            return if !request.get? && (is_api? || is_user_api?)
            raise ApplicationController::RenderEmpty.new if !request.format&.json? && !request.xhr?
          end
          
          def apply_cdn_headers
            if Discourse.is_cdn_request?(request.env, request.method)
              Discourse.apply_cdn_headers(response.headers)
            end
          end
          
          def self.requires_login(arg = {})
            @requires_login_arg = arg
          end
          
          def self.requires_login_arg

github.com/discourse/discourse

lib/discourse.rb

27c20eeac


      
          end
          
          mattr_accessor :redis
          
          def self.is_parallel_test?
            ENV["RAILS_ENV"] == "test" && ENV["TEST_ENV_NUMBER"]
          end
          
          CDN_REQUEST_METHODS ||= %w[GET HEAD OPTIONS]
          
          def self.is_cdn_request?(env, request_method)
            return if CDN_REQUEST_METHODS.exclude?(request_method)
          
            cdn_hostnames = GlobalSetting.cdn_hostnames
            return if cdn_hostnames.blank?
          
            requested_hostname = env[REQUESTED_HOSTNAME] || env[Rack::HTTP_HOST]
            cdn_hostnames.include?(requested_hostname)
          end
          
          def self.apply_cdn_headers(headers)

Это работает только если Discourse настроен с отдельным именем хоста для «запросов к CDN».

simonk · 28.Октябрь.2024 12:02:16

Существует настройка cdn_origin_hostname, которую, возможно, стоит установить на обычное имя хоста Discourse:

github.com/discourse/discourse

app/models/global_setting.rb

27c20eeac


      
          end
          
          # for testing
          def self.reset_s3_cache!
            @use_s3 = nil
          end
          
          def self.cdn_hostnames
            hostnames = []
            hostnames << URI.parse(cdn_url).host if cdn_url.present?
            hostnames << cdn_origin_hostname if cdn_origin_hostname.present?
            hostnames
          end
          
          def self.database_config
            hash = { "adapter" => "postgresql" }
          
            %w[
              pool
              connect_timeout
              socket

github.com/discourse/discourse

config/discourse_defaults.conf

27c20eeac


      
          
          # authorization key that will be included as a header in requests made by the
          # snapshots transporter to the URL specified above. The destination should
          # know this key and only accept requests that have this key in the
          # `Mini-Profiler-Transport-Auth` header.
          mini_profiler_snapshots_transport_auth_key =
          
          # recommended, cdn used to access assets
          cdn_url =
          
          # The hostname used by the CDN to request assets
          cdn_origin_hostname =
          
          # comma delimited list of emails that have developer level access
          developer_emails =
          
          # redis server address
          redis_host = localhost
          
          # redis server port
          redis_port = 6379

Думаю, это позволит пройти проверке is_cdn_request, но не уверен, не вызовет ли это каких-либо негативных побочных эффектов.

Yt.w · 28.Октябрь.2024 12:48:13

Да, я использую CDN на efg.com, но при доступе к JS-файлу он возвращает мне корректный Access-Control-Allow-Origin, что меня довольно сбивает с толку.

simonk · 29.Октябрь.2024 17:48:29

В продолжение темы: я установил cdn_origin_hostname в обычное доменное имя моего экземпляра Discourse, очистил кэш CDN, и теперь highlightjs снова работает. Я не заметил никаких побочных эффектов…

cuo_wu · 18.Май.2025 11:34:16

Я тоже столкнулся с этой проблемой. Есть какие-то обновления?

Тема		Ответов	Просм.
Code highlighting failed because bunny.net CDN Support cdn , cors	4	1350	08.03.2024
All plugins not functioning due to CORS error after recent upgrade Self-hosting cdn	23	460	10.05.2026
How to enable syntax highlighting? Support	5	144	27.10.2024
Aborting! CDN must have a protocol specified Support	7	981	27.05.2019
Need relative URLs for uploaded images Support	8	1306	22.01.2021

Проблема с относительным путем вызывает ошибку CORS на сайтах Discourse

Связанные темы